Schlagwort: Scoring
13. Juni 2023
Die Berliner Datenschutz- und Informationsfreiheitsbeauftragte (BlnBDI) hat eine Bank mit einer Geldstrafe von 300.000 Euro belegt, da sie intransparent in Bezug auf eine automatisierte Einzelentscheidung gehandelt hat. Die Bank verweigerte einem Kunden verständliche Informationen über die Gründe für die automatisierte Ablehnung seines Kreditkartenantrags. Das Unternehmen hat eng mit der BlnBDI zusammengearbeitet und den Bußgeldbescheid akzeptiert.
Eine automatisierte Entscheidung ist eine Entscheidung, die ausschließlich von einem IT-System auf Basis von Algorithmen und ohne menschliches Eingreifen getroffen wird. Gemäß der Datenschutz-Grundverordnung (DSGVO) gelten in solchen Fällen spezielle Transparenzpflichten. Personenbezogene Daten müssen in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Betroffene Personen haben das Recht, eine Erläuterung der getroffenen Entscheidung nach einer entsprechenden Bewertung zu erhalten. Wenn betroffene Personen eine Auskunft bei den Verantwortlichen beantragen, müssen diesen aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung zur Verfügung gestellt werden.
Der Sachverhalt
In diesem spezifischen Fall hat die Bank bei ihrem digitalen Kreditkartenantrag diese Vorgaben jedoch nicht beachtet. Durch ein Online-Formular forderte die Bank verschiedene Informationen über das Einkommen, den Beruf und die persönlichen Daten des Antragstellers an. Basierend auf den abgefragten Informationen und zusätzlichen Daten aus externen Quellen lehnte der Algorithmus der Bank den Antrag des Kunden ohne eine explizite Begründung ab. Der Algorithmus stützte sich dabei auf zuvor von der Bank festgelegte Kriterien und Regeln.
Aufgrund eines guten Schufa-Scores und eines regelmäßig hohen Einkommens des Kunden wurden Zweifel an der automatisierten Ablehnung laut. Obwohl der Kunde die Bank um detaillierte Informationen zum Scoring-Verfahren bat, erhielt er lediglich allgemeine und allgemeingültige Aussagen. Die Bank weigerte sich jedoch, ihm mitzuteilen, warum sie in seinem Fall von einer schlechten Bonität ausging. Der Beschwerdeführer konnte daher nicht nachvollziehen, welche Daten und Faktoren der Ablehnung zugrunde lagen und aufgrund welcher Kriterien sein Kreditkartenantrag abgelehnt wurde. Ohne diese spezifische Begründung war es ihm nicht möglich, die automatisierte Einzelentscheidung angemessen anzufechten. Infolgedessen beschwerte er sich bei der Datenschutzbeauftragten.
Nachvollziehbarkeit ausschlaggebend
Meike Kamp, die Berliner Beauftragte für Datenschutz und Informationsfreiheit, äußerte sich wie folgt: “Wenn Unternehmen automatisierte Entscheidungen treffen, müssen sie diese überzeugend und nachvollziehbar begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen. Die Tatsache, dass die Bank in diesem Fall selbst auf Anfrage nicht transparent und nachvollziehbar über die automatisierte Ablehnung informiert hat, führt zu einer Geldstrafe. Eine Bank ist verpflichtet, die Kund:innen über die maßgeblichen Gründe für die Ablehnung eines Kreditkartenantrags im Zusammenhang mit automatisierten Entscheidungen zu informieren. Dies umfasst konkrete Informationen zur Datenbasis, den Entscheidungsfaktoren und den Kriterien für die Ablehnung in Einzelfällen.”
Die Datenschutzbeauftragte stellte fest, dass die Bank in diesem konkreten Fall gegen Art. 22 III, Art. 5 I lit. a und Art. 15 I DSGVO verstoßen hat. Bei der Festlegung der Höhe des Bußgeldes berücksichtigte die BlnBDI insbesondere den hohen Umsatz der Bank sowie die absichtliche Ausgestaltung des Antragsprozesses und der Informationserteilung. Als mildernden Umstand bewertet wurde unter anderem, dass das Unternehmen den Verstoß eingeräumt hat, bereits Änderungen an den Prozessen umgesetzt hat und weitere Verbesserungen angekündigt hat.
9. März 2023
Handelt es sich bei der Erstellung eines Scoring-Wertes durch die deutsche Wirtschaftsauskunftei „Schufa“ um eine automatisierte Entscheidung nach Art. 22 Abs. 1 Datenschutz-Grundverordnung (DSGVO)? Unter anderem diese Frage möchte das VG Wiesbaden im Rahmen des Vorabentscheidungsersuchens (Rs. C-634/21) vom Europäischen Gerichtshof (EuGH) beantworten lassen. Zu diesem Zweck verhandelt der EuGH derzeit und wird voraussichtlich in diesem Jahr eine Entscheidung erlassen.
Scoring
Hintergrund der Entscheidung ist das Scoring der Klägerin, das Anlass für ein Kreditinstitut gewesen sei, die Vergabe eines Kredites zu untersagen. Mit Hilfe des Scorings legt die Schufa einen Wahrscheinlichkeitswert fest. Dieser bestimmt die Fähigkeit einer Person, künftige Kredite oder Verträge einzuhalten und zurückzuzahlen. Hierzu verwendet die Schufa ein mathematisch-statistisches Verfahren. Die betroffene Person wird dabei auf Grund verschiedener Merkmale einer Personengruppe zugeordnet. Aufgrund von Erfahrungswerten ordnet die Schufa den entsprechenden Personengruppen ein erwartbares Verhalten zu. Die Kreditwürdigkeit der betroffenen Person richtet sich folglich nach der Personengruppe, der sie zugeordnet wird.
Dabei ist allerdings unklar, welche Merkmale die Schufa zur Berechnung der Bonität und welches mathematisch-statistische Verfahren sie verwendet.
Automatisierte Entscheidung
Aus Sicht des VG Wiesbaden ist fraglich, ob die Feststellung des Wahrscheinlichkeitswertes, eine automatisierte Entscheidung, bzw. sog. Profiling iSd Art. 22 Abs. 1 DSGVO darstellt. In diesem Fall sei das Scoring an den Voraussetzungen der Art. 22 Abs. 2 lit. b DSGVO iVm § 31 BDSG zu messen.
Das Gericht stellte zunächst fest, dass mit der Feststellung des Wahrscheinlichkeitswertes die Schufa eine eigenständige Entscheidung treffe. Diese beschließe die Schufa als Verantwortlicher iSd Art. 4 Abs. 7 DSGVO. Insoweit bereite die Schufa nicht lediglich die Entscheidung eines Dritten durch vorbereitendes Profiling vor. Stattdessen diene die Entscheidung der Schufa als Grundlage der Entscheidung eines Dritten. Dabei gebe die Schufa den Scoring-Wert ohne Handlungsempfehlung weiter, sodass Kreditinstitute oder andere Einrichtungen über die Begründung, Durchführung und Beendigung eines Vertragsverhältnisses entscheiden könnten.
Darüber hinaus verarbeite die Schufa die personenbezogenen Daten der betroffenen Person so, dass „diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten“ iSd Art. 4 Nr. 4 DSGVO. Folglich liege hier das sog. Profiling und somit eine automatisierte Entscheidung iSd Art. 22 DSGVO vor. Insoweit sei es ausschlaggebend, dass unter dem Profiling nach Erw.Gr. 71 S. 2 DSGVO auch „die Analyse oder Prognose von Aspekten bezüglich der wirtschaftlichen Lage, der Zuverlässigkeit oder des Verhaltens einer Person zu verstehen seien.“ (VG Wiesbaden, Vorabentscheidungsersuchen, Rs. C-634/21, Rn.19).
Fazit
Demnach sei nach Ansicht des Gerichts, soweit das Scoring unter Art. 22 DSGVO falle, eine eigenständige Rechtsgrundlage nach 22 Abs. 2 lit. b DSGVO erforderlich. Aus Sicht des Gerichts komme grundsätzlich § 31 BDSG hierfür in Betracht.
3. Dezember 2021
Nach einer gemeinsamen Recherche vom NDR und “Süddeutscher Zeitung” sollen Auskunfteien, wie beispielsweise die Schufa, Handyvertragsdaten von Millionen von Menschen gesammelt haben. Betroffen können damit Verbraucherinnen und Verbraucher sein, die in den vergangen vier Jahren einen Mobilfunkvertrag abgeschlossen haben. Dadurch, dass das Sammeln der Daten ohne Einwilligung geschehen ist, sehen Datenschutzbehörden und Verbraucherschützer diese Praxis als nicht rechtens an. Am 22. September 2021 hatte die Datenschutzkonferenz (DSK) der Aufsichtsbehörde der Bundesländer in einem Beschluss beteuert, dass Auskunfteien Positivdaten also solche Informationen, die keine negativen Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Inhalt haben, nicht unter Berufung auf die in der Europäischen Datenschutzverordnung (DSGVO) vorgesehenen Ausnahmen speichern dürfen.
Branchenverband lehnt die Einschätzung vom DSK ab
Der Branchenverband der Wirtschaftsauskunfteien lehnt diese Einschätzung des DSK ab. In einer Stellungnahme vom 19. November 2021 heißt es: “Die Erfahrungen unserer Mitglieder zeigen, dass insbesondere finanzschwächere Menschen von der Verarbeitung von Daten profitieren, die ein vertragsgemäßes Verhalten in einer Geschäftsbeziehung dokumentieren. Gerade Verbraucher und Verbraucherinnen, die bisher keine positive Kredithistorie haben, wie zum Beispiel junge Konsumenten, Migranten und häufig auch Seniorinnen, sind auf die Verarbeitung solcher Informationen angewiesen.”
Scoring-Verfahren
Die Handyvertragsdaten werden wohl auch für das Scoring benutzt. Beim Scoring werden aus verschiedenen Daten über Vertragsabschlüsse, Vertragsdauer und Vertragswechsel Werte berechnet, die Rückschlüsse auf die Bonität der Verbraucher geben sollen. Verbraucherschützer kritisieren das Scoring schon seit langer Zeit. Dieses Verfahren ist nicht nur intransparent, sondern es besteht außerdem ein hohes Risiko, dass durch dieses Verfahren die Daten zulasten von Verbrauchern genutzt werden, die sich nichts haben zu Schulden kommen lassen.
Derzeit befasst sich auch der Europäische Gerichtshof (EuGH) mit der Frage, ob und wie die Verarbeitung von Scoring-Daten und deren Weitergabe mit der DSGVO vereinbar ist. Das Verwaltungsgericht Wiesbaden hatte dem Europäischen Gerichtshof zwei Fragen zu den sogenannten Score-Werten der Auskunftei Schufa vorgelegt.
Zum einen sei zu klären, ob diese Tätigkeit von Wirtschaftsauskunfteien dem Anwendungsbereich des Art. 22 Abs. 1 DSGVO unterfällt. Fraglich ist hierbei, ob Score-Werte über betroffene Personen erstellt und diese ohne weitergehende Empfehlung oder Bemerkung an Dritte (beispielsweise Banken) übermittelt werden können, sodass diese dann unter maßgeblicher Einbeziehung dieses Score-Wertes mit der betroffenen Person vertragliche Beziehungen eingehen oder davon absehen können. Zum anderen sollte der EuGH in einem weiteren Schritt prüfen, ob die DSGVO der Regelung des § 31 BDSG entgegenstehe.
Forderung von Datenlöschung
Die Verbraucherschützer sind der Meinung, dass die gespeicherten Daten bei den Auskunfteien gelöscht werden müssen. Falls die Auskunfteien dies nicht freiwillig umsetzen, könnten die Datenschutzbehörden dies in einem Bescheid verlangen. Dieser Bescheid könnte sodann vor Gericht angefochten werden. Gleichzeitig sollte auch die Weiterleitungspraxis der Mobilfunkbetreiber geprüft werden, vor allem hinsichtlich der Frage, ob und wie Unternehmen eine Einwilligung bei ihren Nutzern einholen können.
31. März 2021
Die “Schutzgemeinschaft für allgemeine Kreditsicherung”, kurz Schufa, könnte verkauft werden. Der Finanzinvestor EQT hat sein Interesse an der Auskunftei bekundet und damit den Stein ins Rollen gebracht. Auch andere Private-Equity-Investoren wie die US-amerikanische Hellman & Friedman sollen zu den Interessenten gehören. Die Eigentümer der Schufa sind zu großen Teilen Banken und Einzelhandelsunternehmen. Konkret soll es sich bei den verkaufsbereiten Eigentümern um die Commerzbank und die Deutsche Bank handeln. Im Verkaufsfall könnte die Schufa mit 2 Milliarden Euro bewertet werden. Allerdings befinden sich die Gespräche noch in einem frühen Stadium.
Die Schufa ist eine Kreditauskunftei, die 1927 mit dem Ziel gegründet wurde, Bonitätsauskünfte zu erteilen. Die Informationen über die Bonität verkauft die Schufa Holding AG an Unternehmen und die Bewerteten. Zu diesem Zweck hält sie Daten von 68 Millionen Deutschen sowie 6 Millionen Unternehmen bereit. Jeder, der einmal einen Mietvertrag oder Handyvertrag abschließen oder ein Auto finanzieren wollte, kann davon ausgehen, mit der Schufa in Kontakt gekommen zu sein.
Ob es zu einem Verkauf kommt oder nicht, ein Politikum könnte sich auf jeden Fall daraus entwickeln. Datenschützer werden den weiteren Prozess aufmerksam verfolgen, wenn sich ein amerikanischer Finanzinvestor in diesen immensen Datenschatz einkaufen könnte. In der jüngeren Vergangenheit hat die Schufa einige Kritik erfahren, als sie mit dem Projekt “Check Now” Kontoauszüge von Kunden auswerten wollte. Die Kritik hat allerdings dazu geführt, dass “Check Now” in der bisher geplanten Form eingestellt wird. Noch kritischer war eine parlamentarische Anfrage der Linken, die die Frage aufwirft, ob Bonitätsauskünfte der Schufa (und anderer) mit den Menschenrechten vereinbar seien.
6. Juli 2012
Das Landgericht (LG) Berlin hat entscheiden (Urt. v. 01.11.2011 – Az.: 6 O 479/10), dass der datenschutzrechtliche Auskunftsanspruch nach § 34 BDSG auch die einer Scoring-Berechnung zugrunde liegenden Parameter umfasst.
Beklagte in dem Rechtsstreit war die Auskunftei Schufa Holding AG, Scoring-Werte über die Bonität von Personen ermittelt. Der Kläger begehrte Auskunft auch über die Parameter, die in diese Berechnung einfließen, was die Beklagte ablehnte.
Nach Auffassung des Gerichts besteht indes nach § 34 BDSG ein solcher Anspruch, der auch die Information, welche Daten dem Scoring-Wert zugrunde gelegt würden, beinhaltet. Dem Auskunftsanspruch des betroffenen Klägers stünde kein schutzwürdiges Interessen der Beklagten entgegen. Insbesondere könne sich die Beklagte nicht auf die Wahrung ihres Geschäftsgeheimnis berufen. In § 34 Abs. 4 BDSG habe das Geschäftsgeheimnis keinen Eingang gefunden, ohne dass es zu es sich dabei um eine planwidrige Lücke im Gesetz handelt. Die Auskunftsverpflichtung eines Scoring-Unternehmen trage insgesamt dazu bei, Bonitätsprüfungen dem Betroffenen gegenüber transparenter zu machen, weswegen auch die zu Grunde liegende Datenbasis mitzuteilen ist. Außerdem müsse mitgeteilt werden, welche Elemente die Score-Berechnung beeinflussen, welche Daten die Auskunftei zu einer Bewertung des Zahlungsverhaltens der Vergleichsgruppe führt sowie welchen Einfluss die der Auskunftei vorliegenden personenbezogenen Daten auf die Bildung eines Wahrscheinlichkeitswertes haben.