Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

12. Februar 2024

Datenschutz bei Scoring-Verfahren: Das müssen Sie wissen

Datenschutz bei Scoring-Verfahren: Das müssen Sie wissen
Bild: iStock.com / filo
4,00 (5)
Inhalte in diesem Beitrag
BDSG & DSGVO
Wer Scoring-Verfahren einsetzt, muss zahlreiche Datenschutz-Vorgaben beachten, unter anderem aus dem Bundesdatenschutzgesetz und einem Urteil des Europäischen Gerichtshofs (EuGH). Daher ist es wichtig, die Bedeutung von Scoring zu verstehen und den Personenbezug von Score-Werten zu erkennen.

Wie definiert der Datenschutz Scoring?

Als Scoring bezeichnet das Bundesdatenschutzgesetz (BDSG) die Verwendung eines Wahrscheinlichkeits-Werts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person.

Zweck ist es, darüber zu entscheiden, mit dieser Person ein Vertrags-Verhältnis zu begründen, durchzuführen oder zu beenden – oder nicht.

Der Begriff „Scoring“ stammt aus dem Englischen. Das Verb „to score“ bedeutet dabei „Punkte erzielen“. Das weist auf die Funktion des Score-Werts hin. Denn es handelt sich um einen Bonitätsindex. Er kommt vor allem bei Wirtschafts-Auskunfteien zum Einsatz

Scoring bei Wirtschafts-Auskunfteien beruht auf statistischen Erkenntnissen über den Zusammenhang zwischen bestimmten einzelnen Merkmalen und der Bonität.

Der Score-Wert lässt sich ermitteln, indem aufgrund von statistischen Auswertungen Eigenschaften einen bestimmten Punktwert bekommen. Je höher der Gesamtpunktwert ausfällt, desto höher die Bonität.

Ein Beispiel: Die Tatsache, dass jemand bereits einmal einen Kredit in Anspruch genommen und ihn ordnungsgemäß zurückgezahlt hat, ist positiv. Hierfür berücksichtigt das Scoring deshalb eine bestimmte Punktezahl.

Daher kann beispielsweise ein niedriges Alter dazu führen, dass weniger Punkte zu erzielen sind als bei einem höheren Alter.

Welche Vorgaben macht der Datenschutz zum Scoring?

§ 31 BDSG (Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften) nennt die Voraussetzungen für ein datenschutzkonformes Scoring.

Es ist nur zulässig, wenn

  • der Verantwortliche die Vorschriften des Datenschutzrechts einhält,
  • die Daten, die zur Berechnung des Wahrscheinlichkeits-Werts dienen, nachweisbar erheblich sind, um die Wahrscheinlichkeit des bestimmten Verhaltens zu berechnen,
  • den Berechnungen ein wissenschaftlich anerkanntes mathematisch-statistisches Verfahren zugrunde liegt,
  • für die Berechnung des Wahrscheinlichkeits-Werts nicht ausschließlich Anschriftendaten genutzt wurden,
  • die betroffene Person vor Berechnung des Wahrscheinlichkeits-Werts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist, wenn doch nur Anschriftendaten zum Einsatz kommen, und
  • die Unterrichtung dokumentiert ist.

Der Datenschutz möchte unter anderem vermeiden, dass Auskunfteien allein aus der Anschrift die Bonität eines Kunden vorhersagen.

Soll dies trotzdem erfolgen, muss der Verantwortliche den betroffenen Kunden darüber informieren. Und das muss er dokumentieren.

Achtung, Datenschutz-Folgenabschätzung für Scoring nötig!

Scoring-Verfahren gehören zu den Verarbeitungstätigkeiten, für die eine Datenschutz-Folgenabschätzung (DSFA) nötig ist. Das sagt Artikel 35 Datenschutz-Grundverordnung (DSGVO).

Außerdem zählt die sogenannte „Muss-Liste“ der Datenschutzkonferenz Scoring zu den Verarbeitungen, die einer Datenschutz-Folgenabschätzungen unterliegen.

Diese Muss-Liste heißt vollständig „Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DSGVO für den nicht-öffentlichen Bereich“.

Will ein Unternehmen (der „nicht-öffentlichen Bereich“) Scoring einführen, muss es also vorher eine Datenschutz-Folgenabschätzung vornehmen.

Welcher Personenbezug besteht bei Scoring?

Scoring bekommt Personenbezug, wenn ein bestimmter Wert mit einer bestimmten Person verknüpft wird. Das ist vor einer Kredit-Entscheidung der Fall, dem klassischen Beispiel, bei dem die Score-Bewertung eine große Rolle spielt.

Die wirtschaftliche Bedeutung von Score-Werten liegt auf der Hand:

  • Sie ermöglichen es, Kredit-Entscheidungen weitgehend zu automatisieren.
  • Das reduziert die Kreditkosten. Und die damit verbundenen Risiken.
  • Letztlich hat die betroffene Person aber kaum eine Chance, nachzuweisen, dass ein einzelnes, im statistischen Regelfall als negativ anzusehendes Bewertungs-Element in seinem Fall keine negative Bedeutung hat.

Deshalb sind die Vorgaben des Datenschutzes hier sehr hoch.

Welche Daten verarbeiten Auskunfteien?

Neben den Scorewerten verarbeiten Auskunfteien personenbezogene Daten und personenbeziehbare Daten wie

  • Namen, vorherige Namen, Vorname, Geburtsdatum, Geburtsort, Anschrift, frühere Anschriften
  • Informationen über die Aufnahme und vertragsgemäße Durchführung eines Geschäftes (z.B. Girokonten, Ratenkredite, Kreditkarten)
  • Informationen über unbestrittene, fällige und mehrfach angemahnte oder titulierte Forderungen sowie deren Erledigung
  • Informationen zu missbräuchlichem oder sonstigem betrügerischem Verhalten wie Identitäts- oder Bonitätstäuschungen
  • Informationen aus öffentlichen Verzeichnissen und amtlichen Bekanntmachungen

Was sagen die Aufsichtsbehörden und Gerichte zu Scoring?

Neben der Verpflichtung aus der DSGVO, vor der Aufnahme eines Scoring-Verfahrens eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO zu machen, ist insbesondere ein Urteil des Europäischen Gerichtshofs (EuGH) zur Anwendung von Score-Werten relevant, über das mehrere Aufsichtsbehörden berichtet haben. So hat sich dazu etwa die hessische Aufsichtsbehörde geäußert:

„Der EuGH hat die Anwendung von Score-Werten zur alleinigen Bemessung von Kreditwürdigkeit in Auskunfteien eingeschränkt. Das Erstellen und Verwenden solcher Scores hat der EuGH soweit als automatisierte Entscheidung über einen Vertrag angesehen, als ihnen der Vertragspartner – der Kunde einer Auskunftei (also insbesondere ein Kreditinstitut)  – eine maßgebliche Rolle bei der Begründung, Durchführung oder Beendigung eines Vertrags beimisst. Eine solche automatisierte Entscheidung ist nach Artikel 22 DSGVO aber grundsätzlich unzulässig und darf nur aufgrund einer Einwilligung oder auf Grundlage einer gesetzlichen Regelung getroffen werden.

Weiterhin entschied der EuGH, dass Auskunfteien Daten zur Ermittlung von Scores nicht länger als das öffentliche Insolvenzregister über Restschuldbefreiungen aufbewahren dürfen, also nicht länger als sechs Monate. Nach den sechs Monaten überwiegen die Rechte und Interessen der betroffenen Personen. Rechtswidrig gespeicherte Daten sind zu löschen.“

Zudem haben die Aufsichtsbehörden für den Datenschutz bereits in der Vergangenheit einige Vorgaben veröffentlicht:

Einmeldung offener und unbestrittener Forderungen in eine Wirtschaftsauskunftei (Beschluss der Datenschutzkonferenz (DSK) vom 23.03.2018)

„Die Zulässigkeit einer Einmeldung beurteilt sich (..) nach Art. 6 Abs. 1 S. 1 lit. f DSGVO. Hierzu ist es notwendig, dass die Einmeldung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Zudem dürfen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen. Das bedeutet, dass eine Abwägung unter Berücksichtigung dieser Kriterien im Einzelfall vorzunehmen ist.“

Keine fortlaufenden Bonitätsauskünfte an den Versandhandel (Beschluss der DSK vom 23.03.2018)

„Auskunfteien dürfen Bonitätsauskünfte gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO grundsätzlich nur erteilen, wenn es zur Wahrung eines berechtigten Interesses eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.“

Verarbeitung von Positivdaten zu Privatpersonen durch Auskunfteien (Beschluss der DSK vom 11.06.2018)

„Handels- und Wirtschaftsauskunfteien können sog. Positivdaten zu Privatpersonen grundsätzlich nicht auf Grundlage des Art. 6 Abs. 1 lit. f DSGVO erheben.

Denn bei Positivdaten – das sind Informationen, die keine negativen Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Inhalt haben – überwiegt regelmäßig das schutzwürdige Interesse der betroffenen Personen, selbst über die Verwendung ihrer Daten zu bestimmen.

Werden die Daten von einem Verantwortlichen an eine Auskunftei übermittelt, ist insoweit bereits die Übermittlung dieser Daten nach Art. 6 Abs. 1 S. 1 lit. f DSGVO regelmäßig unzulässig.

Will eine Auskunftei Positivdaten zu Privatpersonen erheben, bedarf es dafür im Regelfall einer wirksamen Einwilligung der betroffenen Personen im Sinne des Art. 7 DSGVO.“

Zudem sei verwiesen auf die „Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling“. Das ist eine Leitlinie der Artikel-29-Gruppe, die der Europäische Datenschutzausschuss (EDSA) bestätigt hat.

Oliver Schonschek

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.