27.05.2019

Datenschutz bei Scoring-Verfahren: Das müssen Sie wissen

Wer Scoring-Verfahren einsetzt, muss zahlreiche Datenschutz-Vorgaben beachten, unter anderem aus dem neuen Bundesdatenschutzgesetz. Daher ist es wichtig, die Bedeutung von Scoring zu verstehen und den Personenbezug von Score-Werten zu erkennen.

Scoring Datenschutz

Wie definiert der Datenschutz Scoring?

Als Scoring bezeichnet das neue Bundesdatenschutzgesetz (BDSG) die Verwendung eines Wahrscheinlichkeits-Werts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person.

Zweck ist es, darüber zu entscheiden, mit dieser Person ein Vertrags-Verhältnis zu begründen, durchzuführen oder zu beenden – oder nicht.

Der Begriff „Scoring“ stammt aus dem Englischen. Das Verb „to score“ bedeutet dabei „Punkte erzielen“. Das weist auf die Funktion des Score-Werts hin. Denn es handelt sich um einen Bonitätsindex. Er kommt vor allem bei Wirtschafts-Auskunfteien zum Einsatz.

Scoring bei Wirtschafts-Auskunfteien beruht auf statistischen Erkenntnissen über den Zusammenhang zwischen bestimmten einzelnen Merkmalen und der Bonität.

Der Score-Wert lässt sich ermitteln, indem aufgrund von statistischen Auswertungen Eigenschaften einen bestimmten Punktwert bekommen. Je höher der Gesamtpunktwert ausfällt, desto höher die Bonität.

Ein Beispiel: Die Tatsache, dass jemand bereits einmal einen Kredit in Anspruch genommen und ihn ordnungsgemäß zurückgezahlt hat, ist positiv. Hierfür berücksichtigt das Scoring deshalb eine bestimmte Punktezahl.

Daher kann beispielsweise ein niedriges Alter dazu führen, dass weniger Punkte zu erzielen sind als bei einem höheren Alter.

Welche Vorgaben macht der Datenschutz?

§ 31 BDSG (Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften) nennt die Voraussetzungen für ein datenschutzkonformes Scoring.

Es ist nur zulässig, wenn

  • der Verantwortliche die Vorschriften des Datenschutzrechts einhält,
  • die Daten, die zur Berechnung des Wahrscheinlichkeits-Werts dienen, nachweisbar erheblich sind, um die Wahrscheinlichkeit des bestimmten Verhaltens zu berechnen,
  • den Berechnungen ein wissenschaftlich anerkanntes mathematisch-statistisches Verfahren zugrunde liegt,
  • für die Berechnung des Wahrscheinlichkeits-Werts nicht ausschließlich Anschriftendaten genutzt wurden,
  • die betroffene Person vor Berechnung des Wahrscheinlichkeits-Werts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist, wenn doch nur Anschriftendaten zum Einsatz kommen, und
  • die Unterrichtung dokumentiert ist.

Der Datenschutz möchte unter anderem vermeiden, dass Auskunfteien allein aus der Anschrift die Bonität eines Kunden vorhersagen.

Soll dies trotzdem erfolgen, muss der Verantwortliche den betroffenen Kunden darüber informieren. Und das muss er dokumentieren.

Achtung, Datenschutz-Folgenabschätzung nötig!

Scoring-Verfahren gehören zu den Verarbeitungstätigkeiten, für die eine Datenschutz-Folgenabschätzung (DSFA) nötig ist. Das sagt Artikel 35 Datenschutz-Grundverordnung (DSGVO).

Außerdem zählt die sogenannte „Muss-Liste“ der Datenschutzkonferenz Scoring zu den Verarbeitungen, die einer Datenschutz-Folgenabschätzungen unterliegen.

Diese Muss-Liste heißt vollständig „Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DSGVO für den nicht-öffentlichen Bereich“.

Will ein Unternehmen (der „nicht-öffentlichen Bereich“) Scoring einführen, muss es also vorher eine Datenschutz-Folgenabschätzung vornehmen.

Welcher Personenbezug besteht bei Scoring?

Scoring bekommt Personenbezug, wenn ein bestimmter Wert mit einer bestimmten Person verknüpft wird. Das ist vor einer Kredit-Entscheidung der Fall, dem klassischen Beispiel, bei dem die Score-Bewertung eine große Rolle spielt.

Die wirtschaftliche Bedeutung von Score-Werten liegt auf der Hand:

  • Sie ermöglichen es, Kredit-Entscheidungen weitgehend zu automatisieren.
  • Das reduziert die Kreditkosten. Und die damit verbundenen Risiken.
  • Letztlich hat der Betroffene aber kaum eine Chance, nachzuweisen, dass ein einzelnes, im statistischen Regelfall als negativ anzusehendes Bewertungs-Element in seinem Fall keine negative Bedeutung hat.

Deshalb sind die Vorgaben des Datenschutzes hier sehr hoch.

Welche Daten verarbeiten Auskunfteien?

Neben den Scorewerten verarbeiten Auskunfteien personenbezogene Daten und personenbeziehbare Daten wie

  • Namen, vorherige Namen, Vorname, Geburtsdatum, Geburtsort, Anschrift, frühere Anschriften
  • Informationen über die Aufnahme und vertragsgemäße Durchführung eines Geschäftes (z.B. Girokonten, Ratenkredite, Kreditkarten)
  • Informationen über unbestrittene, fällige und mehrfach angemahnte oder titulierte Forderungen sowie deren Erledigung
  • Informationen zu missbräuchlichem oder sonstigem betrügerischem Verhalten wie Identitäts- oder Bonitätstäuschungen
  • Informationen aus öffentlichen Verzeichnissen und amtlichen Bekanntmachungen

Was sagen die Aufsichtsbehörden zu Scoring?

Neben der Verpflichtung aus der DSGVO, vor der Aufnahme eines Scoring-Verfahrens eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO zu machen, haben die Aufsichtsbehörden für den Datenschutz Vorgaben veröffentlicht:

Einmeldung offener und unbestrittener Forderungen in eine Wirtschaftsauskunftei (Beschluss der Datenschutzkonferenz (DSK) vom 23.03.2018)

„Die Zulässigkeit einer Einmeldung beurteilt sich (..) nach Art. 6 Abs. 1 S. 1 lit. f DSGVO.

Hierzu ist es notwendig, dass die Einmeldung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist.

Zudem dürfen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen.

Das bedeutet, dass eine Abwägung unter Berücksichtigung dieser Kriterien im Einzelfall vorzunehmen ist.“

Keine fortlaufenden Bonitätsauskünfte an den Versandhandel (Beschluss der DSK vom 23.03.2018)

„Auskunfteien dürfen Bonitätsauskünfte gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO grundsätzlich nur erteilen, wenn es zur Wahrung eines berechtigten Interesses eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.“

Verarbeitung von Positivdaten zu Privatpersonen durch Auskunfteien (Beschluss der DSK vom 11.06.2018)

„Handels- und Wirtschaftsauskunfteien können sog. Positivdaten zu Privatpersonen grundsätzlich nicht auf Grundlage des Art. 6 Abs. 1 lit. f DSGVO erheben.

Denn bei Positivdaten – das sind Informationen, die keine negativen Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Inhalt haben – überwiegt regelmäßig das schutzwürdige Interesse der betroffenen Personen, selbst über die Verwendung ihrer Daten zu bestimmen.

Werden die Daten von einem Verantwortlichen an eine Auskunftei übermittelt, ist insoweit bereits die Übermittlung dieser Daten nach Art. 6 Abs. 1 S. 1 lit. f DSGVO regelmäßig unzulässig.

Will eine Auskunftei Positivdaten zu Privatpersonen erheben, bedarf es dafür im Regelfall einer wirksamen Einwilligung der betroffenen Personen im Sinne des Art. 7 DSGVO.“

Zudem sei verwiesen auf die „Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling“.

Das ist eine Leitlinie der ehemaligen Artikel-29-Gruppe, die der Europäische Datenschutzausschuss (EDPB) bestätigt hat.

Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)