Datenschutzbehörde  Datenschutz Europa privacy service
 
Scoring - Wege aus der Scoringfalle
DSGVO Art 4, 15, 17, 21-22, 82-83
Datenverarbeitung für Scoringzwecke - Probleme im Kredit-Scoring - Aktuelle rechtliche Bestimmungen - Recht auf Auskunft - Geldstrafe und Schadenersatzklage drohen - Conclusio

Datenverarbeitung für Scoringzwecke

In einer Gesellschaft, in der alles schnell gehen muss, nutzen immer mehr Unternehmen automatisierte Verfahren wie Scoring um herauszufinden wie zuverlässig potentielle Vertragspartner sind.
Neben Wirtschaftsauskunftsdiensten und Banken greifen Versicherungen und zunehmend auch potentielle Arbeitgeber auf Scores zurück. Der folgende Beitrag behandelt Scoring im Zusammenhang mit Kreditwürdigkeit.
Beim Kredit-Scoring durch Wirtschaftsauskunftsdienste und Banken wird auf Grund von Merkmalen des Kunden, wie Familienstand, Beruf, Arbeitgeber, Geburtsdatum oder Wohnort, ein Punktestand ermittelt, der Aufschluss geben soll, mit welcher Wahrscheinlichkeit der Kunde den Kredit zurückzahlen wird. Erst ab einem gewissen Wert wird eine Person als kreditwürdig angesehen und ein Kredit gewährt. Liegt der Scoring-Wert unter dieser Schwelle wird der Vertrag nicht oder unter schlechteren Konditionen geschlossen.
Es zeigt sich, dass sowohl Zahlungsdaten (Einkommen, bestehende laufende Verbindlichkeiten, offene Kreditraten, etc.), als auch soziographische Daten (Ausbildung, Art der Beschäftigung, Arbeitgeber, Wohngegend, Familienstand, etc.) verarbeitet werden.


Probleme im Kredit-Scoring

Die Reduzierung eines Kunden auf einen Wert ist in vielerlei Hinsicht problematisch. Zum einen werden Daten verarbeitet, die nichts oder sehr wenig über die Zahlungsfähigkeit eines Kunden aussagen. Wohnt ein Betroffener in einer Gegend, in der laut Statistik durchschnittlich viele Zahlungsausfälle registriert wurden, kann daraus nicht geschlossen werden, dass auch der Betroffene seine Leistung nicht erbringen wird. Persönliche Besonderheiten werden gar nicht berücksichtigt.
Zum anderen werden oft alte oder ganz einfach falsche Daten zur Berechnung herangezogen, die die Aussagekraft des Scoring-Werts reduzieren. Um immer mehr und mehr Daten von einer Person zu bekommen, prüfen die meisten Auskunfteien ihre Datenlieferanten nicht sorgfältig, sodass der Dateninhalt oft nicht der Realität entspricht.


Aktuelle rechtliche Bestimmungen

Die Datenschutz-Grundverordnung (DSGVO) sieht keine ausdrückliche Regelung zum Scoring vor. Hingegen ist das Scoring eine Art des in Art 4 Zif 4 DSGVO normierten Profiling. Profiling wird als automatisierte Verarbeitung personenbezogener Daten definiert. Werden personenbezogene Daten verarbeitet, um eine Person zu beschreiben, zu bewerten oder Prognosen über sie zu erstellen, spricht man von Profiling. Hingegen soll Scoring helfen, personenbezogene Daten auf einen Wert (Score) zu projizieren, der einen einfachen Vergleich mit anderen Personen ermöglicht. Ebenfalls entscheidend ist für das Scoring die im Art 22 DSGVO festgelegte Bestimmung, dass der Betroffene nicht einer Entscheidung unterworfen werden darf, die aus einer automatischen Verarbeitung resultiert und ihn beeinträchtigt.
Der österreichische Gesetzgeber hat es bis jetzt nicht geschafft eine Regelung bezüglich Scoring in das Datenschutzgesetz aufzunehmen. Es bedürfte einerseits einer gesetzlichen Lösung, die mehr Transparenz für den Betroffenen bringt und diesem seine Rechte aufzählt. Andererseits müsste die Regelung gewisse Qualitätsanforderungen für die Score-Berechnung statuieren.
Anders sieht die Rechtslage in Deutschland aus, wo das Bundesdatenschutzgesetz (BDSG) um einige Paragraphen zum Thema Scoring erweitert wurde.
Nach § 31 Abs 1 BDSG darf bei der Entscheidung über ein Vertragsverhältnis ein Score-Wert verarbeitet werden, wenn
- (Zif 1) die Vorschriften des Datenschutzrechts eingehalten wurden,
- (Zif 2) die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind,
- (Zif 3) für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt werden,
- (Zif 4) im Fall der Nutzung von Anschriftendaten der Betroffene vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren.
Mit dieser Regelung soll sichergestellt werden, dass nur Daten verarbeitet werden, die für den Wahrscheinlichkeitswert eines bestimmten Verhaltens relevant sind. Ob das mit dem § 31 BDSG erreicht wird ist eine andere Frage. Zumindest werden grundlegende Erfordernisse an die Berechnung eines Scoring-Wertes gestellt.


Recht auf Auskunft

Grundsätzlich muss der Verantwortlicher gemäß Art 15 DSGVO Betroffene über die personenbezogenen Datenverarbeitungen beauskunften. In der Regel ist nicht die Wirtschaftsauskunftei der Verantwortliche iSd DSGVO, sondern ihr Kunde (beispielsweise die Bank).
Nach einem Urteil des VwGH (2009/17/0223 11.12.2009) ist die Auskunftei bloß als Auftragsverarbeiter iS des Datenschutzrechts anzusehen, da sie zwar die von ihr gesammelten Daten zur Errechnung der Score-Werte heranzieht, das Berechnungsschema aber von ihrem Kunden kommt. Der VwGH hat entschieden, dass in dieser Konstellation, der Kunde (beispielsweise Bank, Mobilfunkanbieter) der Auskunftei als Verantwortliche iS des Datenschutzrechts anzusehen ist (alte Rechtslage bist 25.05.2018).
Das Auskunftsbegehren nach Art 15 DSGVO muss deshalb an das Unternehmen (Bank) gestellt werden, dass der Auskunftei (Wirtschaftsauskunftsdienst) den Auftrag zur Berechnung eines Scores gegeben hat und das Berechnungsschema zur Verfügung gestellt hat.
Den Kunden der Wirtschaftsauskunftei interessiert aber meist nur der Score und nicht, wie er berechnet wurde. Er kann somit nicht Auskunft über die Daten geben, die zur Berechnung des Scoring-Werts herangezogen wurden, da er sie nicht hat. Der Kunde kann daher nur den Score nennen, aber nicht, wie er zustande gekommen ist. In einem weiteren Urteil zum Thema Scoring (2008/17/0096 15.11.2012) hat der VwGH deshalb entschieden, dass sich das datenschutzrechtliche Auskunftsbegehren auch auf die durch den Auftragsverarbeiter im Rahmen des Auftrages verarbeiteten Daten erstreckt. Der Verantwortliche (Kunde der Auskunftei) ist verpflichtet, sich bei der Auskunftei über diese Daten zu erkundigen und sie an den Auskunftswerber weiterzuleiten (alte Rechtslage bis 25.05.2018).


Geldstrafe und Schadenersatzklage drohen

Die DSGVO sieht bei einem Verstoß gegen den Datenschutz Geldstrafen bis zu 20 Mio. Euro oder aber bis 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens vor (Art 83 Abs 5 DSGVO). Die Datenschutzbehörde ist für Datenschutzbeschwerden zuständig. Des Weiteren können Betroffene Schadenersatzklagen geltend machen (Art 82 DSGVO). Die Zivilgerichte (NICHT Datenschutzbehörde) sind für Schadenersatzklagen zuständig.


Conclusio

Wurde ein Vertrag von einem Unternehmen verweigert und man weiß nicht genau, warum, kann es mit dem Score zu tun haben. Um seinen Score zu erfahren, macht man seinen Anspruch auf Auskunft gemäß Art 15 DSGVO geltend. Das Unternehmen, wenn es denn tatsächlich Score-Werte gespeichert hat, muss sowohl über diese Werte Auskunft geben, als auch über die zur Berechnung herangezogenen Daten.
Um sich davor zu schützen, dass Wirtschaftsauskunftsdienste weiterhin personenbezogene Daten zu einem Score verwerten, sollte man sein Recht auf Löschung nach Art 17 DSGVO wahrnehmen bzw. der Verarbeitung seiner Daten nach Art 21 DSGVO widersprechen. Sowohl das Löschungsrecht, als auch das Widerspruchsrecht wird hierbei gegenüber der Auskunftei geltend gemacht, da sie bezüglich dieser Daten als Verantwortlicher iSd DSGVO anzusehen ist.

mehr --> Auf Einträge in "schwarzen Listen" richtig reagieren
mehr --> Auskunftsbegehren gemäß DSGVO Art 15 (Finanzdienstleister, Ban...
mehr --> Widerspruch bzw. Löschung gemäß DSGVO Art 17-21 (Wirtschaftsau...
mehr --> Lehrgang ISO-zertifizierter Datenschutzbeauftragter
mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungsservice angeboten. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2024 Information gemäß DSGVO webmaster