Schlagwort: Scoring
9. März 2023
Handelt es sich bei der Erstellung eines Scoring-Wertes durch die deutsche Wirtschaftsauskunftei „Schufa“ um eine automatisierte Entscheidung nach Art. 22 Abs. 1 Datenschutz-Grundverordnung (DSGVO)? Unter anderem diese Frage möchte das VG Wiesbaden im Rahmen des Vorabentscheidungsersuchens (Rs. C-634/21) vom Europäischen Gerichtshof (EuGH) beantworten lassen. Zu diesem Zweck verhandelt der EuGH derzeit und wird voraussichtlich in diesem Jahr eine Entscheidung erlassen.
Scoring
Hintergrund der Entscheidung ist das Scoring der Klägerin, das Anlass für ein Kreditinstitut gewesen sei, die Vergabe eines Kredites zu untersagen. Mit Hilfe des Scorings legt die Schufa einen Wahrscheinlichkeitswert fest. Dieser bestimmt die Fähigkeit einer Person, künftige Kredite oder Verträge einzuhalten und zurückzuzahlen. Hierzu verwendet die Schufa ein mathematisch-statistisches Verfahren. Die betroffene Person wird dabei auf Grund verschiedener Merkmale einer Personengruppe zugeordnet. Aufgrund von Erfahrungswerten ordnet die Schufa den entsprechenden Personengruppen ein erwartbares Verhalten zu. Die Kreditwürdigkeit der betroffenen Person richtet sich folglich nach der Personengruppe, der sie zugeordnet wird.
Dabei ist allerdings unklar, welche Merkmale die Schufa zur Berechnung der Bonität und welches mathematisch-statistische Verfahren sie verwendet.
Automatisierte Entscheidung
Aus Sicht des VG Wiesbaden ist fraglich, ob die Feststellung des Wahrscheinlichkeitswertes, eine automatisierte Entscheidung, bzw. sog. Profiling iSd Art. 22 Abs. 1 DSGVO darstellt. In diesem Fall sei das Scoring an den Voraussetzungen der Art. 22 Abs. 2 lit. b DSGVO iVm § 31 BDSG zu messen.
Das Gericht stellte zunächst fest, dass mit der Feststellung des Wahrscheinlichkeitswertes die Schufa eine eigenständige Entscheidung treffe. Diese beschließe die Schufa als Verantwortlicher iSd Art. 4 Abs. 7 DSGVO. Insoweit bereite die Schufa nicht lediglich die Entscheidung eines Dritten durch vorbereitendes Profiling vor. Stattdessen diene die Entscheidung der Schufa als Grundlage der Entscheidung eines Dritten. Dabei gebe die Schufa den Scoring-Wert ohne Handlungsempfehlung weiter, sodass Kreditinstitute oder andere Einrichtungen über die Begründung, Durchführung und Beendigung eines Vertragsverhältnisses entscheiden könnten.
Darüber hinaus verarbeite die Schufa die personenbezogenen Daten der betroffenen Person so, dass „diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten“ iSd Art. 4 Nr. 4 DSGVO. Folglich liege hier das sog. Profiling und somit eine automatisierte Entscheidung iSd Art. 22 DSGVO vor. Insoweit sei es ausschlaggebend, dass unter dem Profiling nach Erw.Gr. 71 S. 2 DSGVO auch „die Analyse oder Prognose von Aspekten bezüglich der wirtschaftlichen Lage, der Zuverlässigkeit oder des Verhaltens einer Person zu verstehen seien.“ (VG Wiesbaden, Vorabentscheidungsersuchen, Rs. C-634/21, Rn.19).
Fazit
Demnach sei nach Ansicht des Gerichts, soweit das Scoring unter Art. 22 DSGVO falle, eine eigenständige Rechtsgrundlage nach 22 Abs. 2 lit. b DSGVO erforderlich. Aus Sicht des Gerichts komme grundsätzlich § 31 BDSG hierfür in Betracht.
3. Dezember 2021
Nach einer gemeinsamen Recherche vom NDR und “Süddeutscher Zeitung” sollen Auskunfteien, wie beispielsweise die Schufa, Handyvertragsdaten von Millionen von Menschen gesammelt haben. Betroffen können damit Verbraucherinnen und Verbraucher sein, die in den vergangen vier Jahren einen Mobilfunkvertrag abgeschlossen haben. Dadurch, dass das Sammeln der Daten ohne Einwilligung geschehen ist, sehen Datenschutzbehörden und Verbraucherschützer diese Praxis als nicht rechtens an. Am 22. September 2021 hatte die Datenschutzkonferenz (DSK) der Aufsichtsbehörde der Bundesländer in einem Beschluss beteuert, dass Auskunfteien Positivdaten also solche Informationen, die keine negativen Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Inhalt haben, nicht unter Berufung auf die in der Europäischen Datenschutzverordnung (DSGVO) vorgesehenen Ausnahmen speichern dürfen.
Branchenverband lehnt die Einschätzung vom DSK ab
Der Branchenverband der Wirtschaftsauskunfteien lehnt diese Einschätzung des DSK ab. In einer Stellungnahme vom 19. November 2021 heißt es: “Die Erfahrungen unserer Mitglieder zeigen, dass insbesondere finanzschwächere Menschen von der Verarbeitung von Daten profitieren, die ein vertragsgemäßes Verhalten in einer Geschäftsbeziehung dokumentieren. Gerade Verbraucher und Verbraucherinnen, die bisher keine positive Kredithistorie haben, wie zum Beispiel junge Konsumenten, Migranten und häufig auch Seniorinnen, sind auf die Verarbeitung solcher Informationen angewiesen.”
Scoring-Verfahren
Die Handyvertragsdaten werden wohl auch für das Scoring benutzt. Beim Scoring werden aus verschiedenen Daten über Vertragsabschlüsse, Vertragsdauer und Vertragswechsel Werte berechnet, die Rückschlüsse auf die Bonität der Verbraucher geben sollen. Verbraucherschützer kritisieren das Scoring schon seit langer Zeit. Dieses Verfahren ist nicht nur intransparent, sondern es besteht außerdem ein hohes Risiko, dass durch dieses Verfahren die Daten zulasten von Verbrauchern genutzt werden, die sich nichts haben zu Schulden kommen lassen.
Derzeit befasst sich auch der Europäische Gerichtshof (EuGH) mit der Frage, ob und wie die Verarbeitung von Scoring-Daten und deren Weitergabe mit der DSGVO vereinbar ist. Das Verwaltungsgericht Wiesbaden hatte dem Europäischen Gerichtshof zwei Fragen zu den sogenannten Score-Werten der Auskunftei Schufa vorgelegt.
Zum einen sei zu klären, ob diese Tätigkeit von Wirtschaftsauskunfteien dem Anwendungsbereich des Art. 22 Abs. 1 DSGVO unterfällt. Fraglich ist hierbei, ob Score-Werte über betroffene Personen erstellt und diese ohne weitergehende Empfehlung oder Bemerkung an Dritte (beispielsweise Banken) übermittelt werden können, sodass diese dann unter maßgeblicher Einbeziehung dieses Score-Wertes mit der betroffenen Person vertragliche Beziehungen eingehen oder davon absehen können. Zum anderen sollte der EuGH in einem weiteren Schritt prüfen, ob die DSGVO der Regelung des § 31 BDSG entgegenstehe.
Forderung von Datenlöschung
Die Verbraucherschützer sind der Meinung, dass die gespeicherten Daten bei den Auskunfteien gelöscht werden müssen. Falls die Auskunfteien dies nicht freiwillig umsetzen, könnten die Datenschutzbehörden dies in einem Bescheid verlangen. Dieser Bescheid könnte sodann vor Gericht angefochten werden. Gleichzeitig sollte auch die Weiterleitungspraxis der Mobilfunkbetreiber geprüft werden, vor allem hinsichtlich der Frage, ob und wie Unternehmen eine Einwilligung bei ihren Nutzern einholen können.
31. März 2021
Die “Schutzgemeinschaft für allgemeine Kreditsicherung”, kurz Schufa, könnte verkauft werden. Der Finanzinvestor EQT hat sein Interesse an der Auskunftei bekundet und damit den Stein ins Rollen gebracht. Auch andere Private-Equity-Investoren wie die US-amerikanische Hellman & Friedman sollen zu den Interessenten gehören. Die Eigentümer der Schufa sind zu großen Teilen Banken und Einzelhandelsunternehmen. Konkret soll es sich bei den verkaufsbereiten Eigentümern um die Commerzbank und die Deutsche Bank handeln. Im Verkaufsfall könnte die Schufa mit 2 Milliarden Euro bewertet werden. Allerdings befinden sich die Gespräche noch in einem frühen Stadium.
Die Schufa ist eine Kreditauskunftei, die 1927 mit dem Ziel gegründet wurde, Bonitätsauskünfte zu erteilen. Die Informationen über die Bonität verkauft die Schufa Holding AG an Unternehmen und die Bewerteten. Zu diesem Zweck hält sie Daten von 68 Millionen Deutschen sowie 6 Millionen Unternehmen bereit. Jeder, der einmal einen Mietvertrag oder Handyvertrag abschließen oder ein Auto finanzieren wollte, kann davon ausgehen, mit der Schufa in Kontakt gekommen zu sein.
Ob es zu einem Verkauf kommt oder nicht, ein Politikum könnte sich auf jeden Fall daraus entwickeln. Datenschützer werden den weiteren Prozess aufmerksam verfolgen, wenn sich ein amerikanischer Finanzinvestor in diesen immensen Datenschatz einkaufen könnte. In der jüngeren Vergangenheit hat die Schufa einige Kritik erfahren, als sie mit dem Projekt “Check Now” Kontoauszüge von Kunden auswerten wollte. Die Kritik hat allerdings dazu geführt, dass “Check Now” in der bisher geplanten Form eingestellt wird. Noch kritischer war eine parlamentarische Anfrage der Linken, die die Frage aufwirft, ob Bonitätsauskünfte der Schufa (und anderer) mit den Menschenrechten vereinbar seien.
6. Juli 2012
Das Landgericht (LG) Berlin hat entscheiden (Urt. v. 01.11.2011 – Az.: 6 O 479/10), dass der datenschutzrechtliche Auskunftsanspruch nach § 34 BDSG auch die einer Scoring-Berechnung zugrunde liegenden Parameter umfasst.
Beklagte in dem Rechtsstreit war die Auskunftei Schufa Holding AG, Scoring-Werte über die Bonität von Personen ermittelt. Der Kläger begehrte Auskunft auch über die Parameter, die in diese Berechnung einfließen, was die Beklagte ablehnte.
Nach Auffassung des Gerichts besteht indes nach § 34 BDSG ein solcher Anspruch, der auch die Information, welche Daten dem Scoring-Wert zugrunde gelegt würden, beinhaltet. Dem Auskunftsanspruch des betroffenen Klägers stünde kein schutzwürdiges Interessen der Beklagten entgegen. Insbesondere könne sich die Beklagte nicht auf die Wahrung ihres Geschäftsgeheimnis berufen. In § 34 Abs. 4 BDSG habe das Geschäftsgeheimnis keinen Eingang gefunden, ohne dass es zu es sich dabei um eine planwidrige Lücke im Gesetz handelt. Die Auskunftsverpflichtung eines Scoring-Unternehmen trage insgesamt dazu bei, Bonitätsprüfungen dem Betroffenen gegenüber transparenter zu machen, weswegen auch die zu Grunde liegende Datenbasis mitzuteilen ist. Außerdem müsse mitgeteilt werden, welche Elemente die Score-Berechnung beeinflussen, welche Daten die Auskunftei zu einer Bewertung des Zahlungsverhaltens der Vergleichsgruppe führt sowie welchen Einfluss die der Auskunftei vorliegenden personenbezogenen Daten auf die Bildung eines Wahrscheinlichkeitswertes haben.