Artikel vom 14.02.2018
Recht: Scoring - mit EU-Datenschutz vereinbar?
Die EU-Datenschutzgrundverordnung (DSGVO) kommt: Zum 25. Mai in Kraft, soll sie dafür sorgen, dass Datenschutz mit aktuellen technische Entwicklungen Schritt hält - erstreckt auf wesentliche (Informations-)Pflichten. Bisherige Regelungen gem. § 4 Abs. 3, § 33 BDSG sowie § 13 Abs. 1 TMG werden ersetzt. In diesem Kontext steht Scoring intensiv in öffentlicher Diskussion: Mit immer größeren Datenvolumina umzugehen, gewinnt für Unternehmen weiter an Bedeutung. Was meint Scoring im Datenschutzzusammenhang?
Scoring: Automatische Prognose von Verbraucherverhalten
Für § 28b BDSG (Bundesdatenschutzgesetz) die Nutzung eines Wahrscheinlichkeitswerts: Wie wahrscheinlich ist es, dass ein Verbraucher ein bestimmtes Verhalten zeigt? Auf dieser Grundlage können Vertragsverhältnisse mit ihm abgelehnt, eingegangen oder beendet werden. Bonitätsprüfungen bereiten Geschäften (z. B. Kredit oder Kauf auf Rechnung), die auf Vorleistung ohne sofortige Gegenleistung basieren, den Weg. Dabei fungiert der Schufa-Score als Prognose: So wahrscheinlich ist es, dass ein Vertragspartner seine Schulden begleicht. Wie verlässlich solche Prognosen sind, kritisieren Verbraucherrechtler schon lange: Dafür, dass das Zustandekommen von Scoring oft nicht nachvollziehbar sei, käme ihm eine zu große Bedeutung zu. Richtig - Betroffene können nur begrenzt steuern, welcher Score letztlich herauskommt - besonders dort, wo Daten ohne explizite Einwilligung verarbeitet werden. So erstreckt sich Nachvollziehbarkeit darauf, das Auskunftsrecht wahrzunehmen und zu erfragen, wie das Scoring zustandekommt. Ansonsten sind Verbraucher in relevanten geschäftlichen Angelegenheiten automatisierten Entscheidungsprozessen unterworfen. Warum ist Automation ein Problem ist? Sie birgt die Gefahr, dass - anstelle von Einzelfallprüfungen durch echte Menschen - unangemessen entschieden wird.
Verarbeitung einfach verbieten?
Nein, so weit reicht das Interesse Scoring-Betroffener nicht: Volkswirtschaftliche Gründe stehen solchen Ideen entgegen. Nur eine Wirtschaft, deren Unternehmen Kreditrisiken einschätzen und so Kreditausfällen vorbeugen können, funktioniert. Wo ein Datennutzungsverbot dies verhindert, werden Kredite kaum noch vergeben - das Risiko ist einfach zu groß. Deshalb wird Scoring - mit und ohne Zustimmung - durchgeführt, (volks-)wirtschaftliche Gründe bilden die gesetzliche Legitimation dafür. Bereits seit 2010 regelt § 28a BDSG: Personenbezogene Daten dürfen ohne die Zustimmung Betroffener an Auskunfteien wie die Schufa gehen - vorausgesetzt, eine fällige Leistung bzw. Zahlung wird nicht erbracht und weitere Faktoren zeigen: Diese Forderung ist berechtigt. Für Kreditinstitute gelten allerdings vereinfachte Voraussetzungen für ein Übermitteln von Informationen - etwa über Kreditgeschäfte.
Wann ist Scoring erlaubt? 5 Bedingungen
Die zentrale Vorschrift steckt in § 28b BDSG. Scoring ist erlaubt, wenn
- die Daten, in wissenschaftlich anerkanntem mathematisch-statistischen Verfahren erhoben, nachweisbar entscheidend dazu geeignet sind, die Höhe eines Kreditrisikos zu berechnen,
- das Scoring mit rechtsgeschäftlicher Entscheidung verknüpft ist und das Interesse des Betroffenen an der Nutzung seiner Daten nicht überwiegt
- Scoring nicht auf bloßen Adressdaten beruht; werden Adressdaten mitgenutzt, ist der Betroffene über diese Absicht - inklusive Nachweis - zu informieren
- der Betroffene durch eine Einzelentscheidung, die sich nur auf automatische Datenverarbeitung stützt, nicht beeinträchtigt wird (im Einzelfall muss ein Mensch den Sachverhalt prüfen)
- eine automatisierte Entscheidung keine negativen Auswirkungen besitzt - etwa weil dem Wunsch nach einem Darlehen entsprochen wurde.
EU-Datenschutz-Grundverordnung: Das ist neu
Die Scoring-Neuregelung in der DSGVO, Art. 22 Abs. 1, stärkt das Recht Betroffener, in wichtigen Fällen keinen ausschließlich automatisierten Scoring-Entscheidungen ausgeliefert zu sein. Hier bringt die DGSVO im Vergleich zu § 6a Abs. 2 BDSG eine Verschärfung: Eine Ausnahme von diesem prinzipiellen Verbot ist nur möglich, wenn die automatisierte Entscheidung tatsächlich notwendig ist, um einen Vertrag zwischen zwei Parteien zu schließen oder zu erfüllen. Insofern verlangt Art. 6 Abs. 1 f DSGVO: Bei jeder einzelnen Datenverarbeitung sind die Interessen der Beteiligten abzuwägen. Sprich, ist eine Datenverarbeitung nicht erforderlich, um berechtigte Interessen Verantwortlicher zu wahren, ist sie verboten. Gleiches gilt, wenn das Interesse des Betroffenen daran, dass seine Daten nicht verarbeitet werden, überwiegt. Ganz explizit nennt die DSGVO hier die Rechte von Kindern - und stuft diese als besonders schutzwürdig ein.
DSGVO und Recht auf Selbstauskunft
Das Recht auf Selbstauskunft regelt Art. 15 Abs. 1 DSGVO. Neu ist: Betroffene dürfen künftig verlangen, sowohl über die involvierte Logik als auch über die zu erwartenden Konsequenzen der Datenverarbeitung informiert zu werden. Außerdem sind fragliche Daten (Art. 15 Abs. 3 DSGVO) in Kopie bereitzustellen. Was ändert sich sonst für die Praxis der Unternehmen beim Thema Scoring? Derzeit noch wenig: Um die Scoring-Vorschriften der DSGVO auf nationaler Ebene zu konkretisieren, sind nationale Gesetzgeber in der Pflicht, dafür Gründe zu nennen - wie zum Beispiel Ziele zu schützen, die im allgemeinen Interesse einer breiten Öffentlichkeit sind. Inwieweit Änderungen im Bereich Scoring in diesem Interesse liegen, bleibt also abzuwarten.