Wer einen Kredit beantragen will, braucht eine gute Bonität. Doch auf welchen Grundlagen entscheidet die Bank eigentlich über die Kreditvergabe? Nun wurde bekannt, dass der Bonitätswert eher in den Keller geht, wenn wenige Daten zum Antragsteller vorhanden sind. Wir haben uns das einmal genauer angeschaut.
Der Inhalt im Überblick
Was machen Schufa und Co. eigentlich?
Die Bonität einer Privatperson oder eines Unternehmens wird durch Wirtschaftsauskunfteien bewertet. Die bekanntesten Vertreter sind die Schufa Holding AG oder die Unternehmensgruppe creditreform. Doch wie wird meine Bonität ermittelt bzw. bewertet? Dies erfolgt auf Grund von Wahrscheinlichkeiten, den sogenannten „Scorewerten“. Diese Wahrscheinlichkeiten selbst werden – welche Überraschung – aus einer Vielzahl von Datensätzen gebildet. Und dabei gilt das Motto: je mehr, desto besser!
Wirtschaftsauskunfteien beziehen ihre Daten aus verschiedenen Quellen. Neben der aktiven Einholung von Informationen, beispielsweise durch Selbstbefragungen von Unternehmen oder natürlichen Personen, halten vor allem öffentlich zugängliche Datenbänke wie Handelsregistereinträge, Firmengründungen oder Mitteilungen im Bundesanzeiger eine Vielzahl von interessanten Fakten wirtschaftlicher Art bereit. Und haben Sie gewusst, dass man z. B. jede Eröffnung eines Insolvenzverfahrens im Internet finden kann? Dies zeigt, wie viele Wirtschaftsdaten im Umlauf sind, deren man sich oft gar nicht bewusst ist. Von der Zusammenarbeit von Auskunfteien mit Inkassobüros ganz zu schweigen.
Geld oder Liebe… ähh, Daten
Und was hat das Ganze mit Datenschutz zu tun? Ganz einfach, die Praxis vieler Wirtschaftsauskunfteien steht derzeit auf dem Prüfstand. Beim Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) häufen sich nach eigenen Angaben Beschwerden über die Datenerhebung bzw. -auswertung einschließlich der dazu gehörenden Berechnungsverfahren. Schon mehrmals in der Vergangenheit wurden Fälle bekannt, dass Wirtschaftsauskunfteien falsche oder veraltete Datensätze verwenden. Dies kann natürlich für den jeweiligen Betroffenen ernste finanzielle Folgen haben. Im Extremfall wird ein Kredit oder ein Leasingvertrag für ein Fahrzeug verweigert, was wiederum Auswirkungen auf den Geschäftsbetrieb des Betroffenen haben kann.
Die aktuellen Beschwerden, welche in Stuttgart eingegangen sind, richten sich allerdings gegen Bonitätsbewertungen, bei welchen nicht vorliegende Daten und Informationen dazu geführt haben, dass der Scorewert niedrig ausfiel und der Kreditrahmen dementsprechend gering eingestuft worden ist. Vereinfacht gesagt wurde festgestellt, dass die Unternehmen und Personen, von welchen wenig bis keine Datensätze vorhanden waren, kaum Chancen hatten, den begehrten Kredit zu erhalten. Man kann es aber auch so ausdrücken: Je mehr Daten ich über dich habe, desto eher bekommst du frische Kohle!
Der Redliche wird bestraft
Wenn Sie jetzt ein seltsames Bauchgefühl verspüren, muss das nicht an einem leeren Kühlschrank liegen. Die Erkenntnisse des LfDI muten erst einmal seltsam an, dürften aber angesichts der Wertigkeit von personenbezogenen Daten im Allgemeinen nicht wirklich überraschen. Das LfDI teilte hierzu mit, dass es von einer Auskunftei im konkreten Fall die Rückmeldung erhalten habe, dass eine positive Bewertung ohne oder mit wenig Datensätzen „zu riskant sei“. Schließlich würden sich viele potentiellen Vertragspartner der betroffenen Personen auf die Auskünfte verlassen.
Diese Vorgehensweise ist aber nicht nur datenschutzrechtlich, sondern auch aus wirtschaftlicher Sicht problematisch. Unternehmen, welche möglicherweise seit Jahren schwarze Zahlen schreiben und im Regelfall über eine hohe Liquidität verfügen, würden sicherlich für die allermeisten Unternehmer und Verbraucher sehr angenehme und vertrauenswürdige Vertragspartner darstellen. Wenn diese Unternehmen aber am Kreditmarkt bislang nicht tätig waren – einfach aus dem schlichten Grund, dass sie dafür überhaupt keinen Bedarf hatten –, nun aber notwenige und zukunftsweisende Investitionen anstehen, steht dieses Unternehmen vor dem Problem, woher es finanzielle Ressourcen bekommen soll. Dies kann eigentlich nicht der Weisheit letzter Schluss sein.
Das LfDI greift durch
Der oberste Datenschützer Baden-Württembergs, Dr. Stefan Brink, hat dazu eine ganz klare Meinung:
„Es ist nicht hinnehmbar, dass Unternehmen oder Privatpersonen gezwungen sind, ihre Daten gegenüber Wirtschaftsauskunfteien preiszugeben, wenn ihnen sonst eine schlechte Bewertung droht“.
Dieser Aussage kann man aus datenschutzrechtlicher Sicht nur voll und ganz zustimmen. Nur so kann (weitestgehend) eine transparente Bewertung von Unternehmen und Privatpersonen erfolgen. Dies käme dann auch der Gesamtwirtschaft zu Gute, da dann eine höhere (Rechts-)Sicherheit für sämtliche Beteiligte herrscht. Anderenfalls droht immer die Gefahr, dass viele potenzielle Vertragspartner den niedrigen Scorewert auf schlechtes Verhalten am Markt in der Vergangenheit zurückführen. Dr. Brink mahnt hierzu weiter:
„Der Legitimation solcher Bewertungen unter dem Deckmantel der ‚Meinungsfreiheit‘ treten wir entschieden entgegen. Denn auch wenn Auskunfteien ihre ‚Meinungen‘ über die Kreditwürdigkeit von Unternehmen und Personen verbreiten, bedarf es eines wahren und überprüfbaren Tatsachenkerns. Andernfalls stehen das wirtschaftliche Fortkommen und das Ansehen von unbescholtenen Unternehmen und Privatpersonen auf dem Spiel.“
Automatisierte Entscheidung oder Einzelfallprüfung?
Aus datenschutzrechtlicher Sicht stellt sich die entscheidende Frage, ob die bemängelte Vorgehensweise gegen Art. 22 DSGVO bzw. § 31 BDSG verstößt. In Art. 22 Abs. 1 DSGVO heißt es:
„Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“
Paragraph 31 Abs. 1 BDSG bestimmt dazu ergänzend:
„Die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) ist nur zulässig, wenn
– die Vorschriften des Datenschutzrechts eingehalten wurden,
– die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind, […]“
Eine gewisse Form von einer automatisierten Entscheidungsfindung ist bei der Ermittlung des Scorewertes bzw. der Bonität ohne Zweifel vorhanden. Schließlich führen die Auskunfteien hier Datensätze aus verschieden Quellen zusammen, woraus man Prognosen für die Zukunft – also Wahrscheinlichkeiten – ableiten kann.
Datenschutzrecht darf kein stumpfes Schwert sein
Das LfDI hat vorliegend bemängelt, dass es eines „wahren und überprüfbaren Tatsachenkerns“ bedarf, um die geltenden datenschutzrechtlichen Vorschriften einzuhalten. Sicherlich sind angesichts des relativ weit gefassten Wortlauts der Normen mehrere Ansichten vertretbar. Hinzu kommt, dass es sich bei den exakten Algorithmen um Geschäftsgeheimnisse der jeweiligen Wirtschaftsauskunftei handelt, so dass die exakte Berechnungsmethode im Einzelnen nicht bekannt ist.
Das Handeln des LfDI ist dennoch konsequent. Das Ende von Lied war, dass das LfDI eine in Baden-Württemberg ansässige Auskunftei kostenpflichtig verwarnt hat. Die volle Breitseite des Bußgeldkatalogs hat die Auskunftei also nicht abbekommen. Das LfDI hat aber angekündigt, dass der Markt nun unter besonderer Beobachtung steht. Es bleibt zu hoffen, dass dies auch tatsächlich ernst gemeint war. Anderenfalls bliebe das Datenschutzrecht ein stumpfes Schwert und man würde ihm lediglich einen Bärendienst erweisen.
Damit war ja gar nicht mehr zu rechnen.
Die DSGVO ist ja immer noch Neuland. So hatte das LfDI in Hessen auf meine Beschwerde gegenüber der automatisierten Verfahren bei Auskunfteien und Finanzdienstleistern keine Abweichungen gegenüber der Regelungen erkennen können oder wollen.
De Facto hat die Schufa einen „Kaffeesatzscore“ ermittelt über eine Person (mich), über die sie nichts wissen konnte, da ich in den letzten 30 Jahren mit Sicherheit keine Handyverträge, Verbraucherkredite, Zusatzkonten… abgeschlossen hatte. Vielmehr alles vor Ort bar bezahlt hatte. Dieses „nichts wissen“ führte zu einer für den Betroffenen intransparenten Negativbewertung. Bedeutet dem Betroffenen wird ein wirtschaftlicher Schaden zugefügt indem er für die Zeit der eingetragenen, falschen Bewertung, nicht am Markt teilnehmen kann.
Meines Erachtens liegt hier eine Diskriminierung vor, da Betroffene eine Negativbeurteilung hinnehmen müssen, obwohl diese nichts haben sich zu schulden kommen lassen.
Und leider ist selbst bei den Fachleuten noch nicht angekommen, was unter Auskunftspflicht gem. DSGVO Art.15 Abs1 h) zu verstehen ist. Meine Anfrage bezog sich nicht auf den „Kaffeesatz“ der Schufa. Denn wenn das „nicht kennen“ einer natürlichen Personen einen Score xy ergibt, der besagt keine Kreditempfehlung, dann ist das zunächst deren Entscheidung.
Aber den Betroffenen dies nicht transparent aufzuzeigen und so möglicherweise Millionen Bescheide kostenpflichtig zu vermarkten, die sich auf „nicht wissen“ stützen, ist wohl eher als unredlich einzustufen.
Die Information über die Logik der automatisierten Entscheidung, hätte hier in den Datenschutzinformationen des Onlinehändlers vor dem opt in zur Wirtschaftsauskunft stehen sollen.
„Achtung, wenn sie bei unserer Auskunftei nicht bekannt sind, können wir einen Einkauf auf Rechnung nicht gewähren und der errechnete Scorwert wird sie die nächsten 2Jahren überall hin mit begleiten“.
Stattdessen wird die Kaufoption „auf Rechnung“ grau unterlegt und ist nicht mehr wählbar.
Wenn sie dann, im Wissen um ihre tasächliche Finanzkraft und im Glauben an einem Irrtum den Bestellvorgang wiederholen, dann rutscht ihr Schufawert vollautomatisch unter 90%. Zumindest ist mir das beim zweiten Versuch des Onlineeinkaufs passiert. Nein, soetwas ist alles offenbar Regelkonform. Wenn man der LfDI in Hessen glauben schenkt.
Daher meine Überraschung, dass offenbar doch noch gegen solche Verfahren von Seiten der Datenschutzbehörden vorgegangen wird.
Bleibt die Frage: „Alles nur Show“
Das Erstaunliche an diesem Vorgehen ist eigentlich, dass es den Wert der Bonitätsauskünfte selbst in Frage stellt. Denn den Schaden hat ja nicht nur der schlecht Bewertete, sondern auch die Firma, der ein gewinnbringendes Geschäft entgeht. Online-Shops reduzieren so auch ihren Markt, da zu EU-Ausländern kaum genügend Daten vorhanden sein dürften.
Die einzig korrekte Rückmeldung der Auskunftei auf eine Anfrage bei zu wenigen Daten müsste lauten, dass man die Bonität mangels Daten nicht bewerten kann. Das könnte dann jedes Unternehmen selbst interpretieren, wie es mag. Tendenziell dürften Personen ohne ausreichende Daten bislang „unauffällig“ gewesen sein und müssten eher positiv gesehen werden.
Das beschriebene Vorgehen wirkt als Geschäftemacherei zu Lasten beider Seiten und um Druck auf Betroffene auszuüben, Daten herzugeben. Das kann’s nicht sein.