Die Schufa und ihre Intransparenz – ein Versagen der DSGVO?

Fachbeitrag

Kann die Datenschutz-Grundverordnung (DSGVO) in der jetzigen Form ihren ehrgeizigen Zielen gerecht werden oder bleibt das neue Datenschutzrecht hinter den selbstgesteckten Zielen zurück? Eines der großen Versprechen der DSGVO ist die Transparenz von Datenverarbeitungen durch Unternehmen und der Schutz der Betroffenen. Eine Betrachtung am Beispiel der Schufa.

Was macht die Schufa?

Die Schufa Holding AG ist ein privatwirtschaftliches Unternehmen, dessen Geschäftszweck in erster Linie darin besteht, ihre Vertragspartner mit Informationen zur Kreditwürdigkeit Dritter zu versorgen. Wollen Verbraucher also beispielsweise einen Kredit beantragen, einen Miet- oder Mobilfunkvertrag abschließen, so spielt der sog. Schufa-Score dabei oft eine entscheidende Rolle. Dieser Score-Wert von 1 bis 100 trifft eine Aussage darüber, wie die Bonität eines Verbrauchers einzustufen und wie hoch das Risiko eines Zahlungsausfalls ist. So soll Sicherheit und Vertrauen im Wirtschaftsverkehr geschaffen werden und außerdem eine Überschuldung von Verbrauchern verhindert werden.

Wie wird der Score-Wert berechnet?

Die Berechnung des Score-Werts erfolgt in einem automatisierten Rechenverfahren alle drei Monate neu. Dabei werden eine Vielzahl von verschiedenen Informationen über Verbraucher berücksichtigt, die alle bei der Schufa gespeichert sind, wie z.B. die Anzahl der Kredite, die schon aufgenommen wurden und ob es dabei zu Zahlungsausfällen kam. Die Berechnungsformel selbst, also wie die einzelnen Informationen gewichtet und bewertet werden, ist allerdings das Geschäftsgeheimnis der Schufa und wird von dieser nicht für die Allgemeinheit offengelegt.

Problematisch ist dies vor allem deswegen, weil wiederholt Betroffene unverschuldet zum Risikofall erklärt werden wie eine gemeinsame Recherche des BR und des Spiegels jüngst gezeigt hat. Dies kann erhebliche, negative Auswirkungen auf die Lebensumstände der Betroffenen haben, wenn diese deshalb z.B. keine Kredite oder Wohnungen bekommen.

Du bist, was deine Daten über dich sagen

Die Einsatzmöglichkeiten von solchen automatisierten Rechenverfahren – oder Algorithmen – sind durch die Digitalisierung und datengetriebene Wirtschaft mittlerweile fast unbegrenzt und steigen stetig an. Bewertungen und Aussagen über Menschen oder deren (künftigen) Verhaltensweisen haben einen immensen Wert für die Wirtschaft und können auch für den Staat interessant sein. Mit vermehrten Einsatz dieser Algorithmen steigt aber gleichzeitig das Risiko, dass die Betroffenen durch diese falsch bewertet und damit benachteiligt oder diskriminiert werden.

Was sagt die DSGVO dazu?

Die DSGVO versucht diesem Risiko insbesondere durch die Art. 15 Abs. 1 lit h und Art. 22 Abs. 1 DSGVO zu begegnen. In Art. 22 Abs. 1 DSGVO heißt es:

„Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“

Das liest sich zunächst einmal ganz gut. Bei wichtigen Entscheidungen sollen also grundsätzlich keine Algorithmen das letzte Wort über uns haben. Allerdings lässt das Gesetz hier auch Ausnahmen zu, diese sind in Art. 22 Abs. 2 DSGVO aufgeführt.

Für die notwendige Transparenz ist in diesem Zusammenhang wichtig, dass Art. 15 Abs. 1 lit h DSGVO diejenigen Unternehmen, die solche Algorithmen aufgrund der Ausnahmen einsetzen, dann aber verpflichten soll, den Betroffenen „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen“ von ihren Algorithmen zur Verfügung zu stellen. Dies klingt logisch und notwendig, denn nur wenn offengelegt wird, wie Algorithmen funktionieren und wie sie zu ihren Entscheidungen kommen, kann eine unabhängige Kontrolle stattfinden und damit verhindert werden, dass Menschen zum Objekt von undurchsichtigen Entscheidungen einer Maschine werden.

Gut gemeint aber weitgehend wirkungslos

Warum muss die Schufa Ihren Algorithmus dann nicht wegen Art. 15 Abs. 1 lit h DSGVO komplett offenlegen, wo dieser doch für die Betroffenen so wichtige Entscheidungen trifft? Hier zeigt sich dann recht schnell, wie schwach die DSGVO an dieser Stelle tatsächlich ist. Die Schufa – und das trifft so auch auf viele andere Anbieter von Algorithmen zu – nutzt ihren Algorithmus selbst nicht, um damit selbst Entscheidungen über Personen zu treffen. Die Entscheidungen werden vielmehr von den Unternehmen oder Personen getroffen, die den Score-Wert der Schufa einkaufen und diesen dann als Basis für ihre eigene Entscheidung nutzen.

Die Schufa selbst ist also schon mal nicht verpflichtet aufgrund des gesetzlichen Auskunftsanspruch in Art. 15 Abs. 1 lit h DSGVO ihre Berechnungsformeln offenzulegen, da sie als Verantwortliche keine automatisierten Einzelfallentscheidungen im Sinne des Art. 22 Abs. 1 DSGVO durchführt. So dürfte das auch weiterhin der Bundesgerichtshof (BGH) sehen, der bereits 2014 (u.a. mit dieser Begründung) urteilte, dass die Schufa keine Auskunft über die Formel ihres Scoring-Verfahrens geben muss. Schon damals hatte der BGH in diesem Zusammenhang auch die damals noch geltende EG-Datenschutzrichtlinie zu prüfen, die in Art. 15 Abs. 1 Richtlinie 95/46/EG eine dem Art. 22 Abs. 1 DSGVO sehr ähnliche Regelung enthielt.

Dann müssten aber diejenigen Unternehmen, die den Score-Wert dann nutzen, um auf dessen Basis Entscheidungen über Personen zu treffen, die Berechnungsmethode doch offenlegen, oder? Leider auch nicht. Ganz abgesehen davon, dass diese Unternehmen dazu nicht in der Lage sind, weil es sich ja um ein Geschäftsgeheimnis der Schufa handelt, können auch diese Unternehmen den Art. 22 Abs. 1 DSGVO und die damit einhergehende Auskunftspflicht sehr leicht umgehen. Es muss lediglich eine Person, also z.B. ein Sachbearbeiter an irgendeiner Stelle der Entscheidungsfindung zwischengeschaltet werden und schon handelt es sich nicht mehr um eine reine automatisierte Entscheidung. Die Tatsache, dass die Entscheidung meistens ohne weitere Prüfung trotzdem allein auf Basis des Ergebnisses der automatisierten „Entscheidungsvorlage“ getroffen werden wird, spielt dabei leider keine Rolle.

Vertrauen ist gut, Kontrolle ist besser

Diese noch fortführbare Aufzählung der Unzulänglichkeiten des Art. 22 DSGVO zeigt also recht deutlich, dass die DSGVO in ihrer jetzigen Form, wenn überhaupt, nur sehr begrenzt dazu in der Lage ist, ausreichend Transparenz im Bereich von Algorithmen und künstlicher Intelligenz zu schaffen. Zwar kann die DSGVO bei der Regulierung in diesem Bereich sowieso nur einen Teil betragen, allerdings ist sie leider auch schon damit überfordert. Vertrauen und Schutz im Wirtschaftsverkehr sind wichtig und daneben können Algorithmen auch in anderen Bereichen viel für die Gesellschaft leisten. Wenn es dabei aber um wichtige Entscheidungen für die Betroffenen geht, muss die Logik oder mathematische Grundlage der Entscheidungsfindung vollständig öffentlich und jederzeit voll überprüfbar sein. Es bleibt zu hoffen, dass sich diese Erkenntnis auch beim Gesetzgeber durchsetzt.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

21 Kommentare zu diesem Beitrag

  1. Bräuchte man einen Kredit oder Umschulung in Deutschland geht es nicht da man von der schufa gehindert wird trotz erfolgte und erbrachte Leistungen werden die schufa Einträge zu spät gelöscht und wird so in etwa als Verbrecher dargestellt und im Leben eingeschränkt zb brauche einen Kredit geht nicht da alte Einträge erst nach zehn Jahren gelöscht werden oder sogar übersehen werden immer zum Nachteil des Deutschen Staats Bürger finde das krimminirend den die wissen gar nicht weshalb und wieso zb kredit gebraucht werden es wird man wieder wegen schufa als letzter Mensch behandelt trotz Jahre länger Betriebs Zugehörigkeit und Regel mäßigen Geld eingang

  2. Wenn Datenschutz dann richtig. Das heißt das Schufa und Konsorten verboten werden müssen genau so wie die GEZ den da betreibt der Staat selber Datenmisbrauch in dem bei jeden Umzug sofort eine Meldung an die GEZ geht. Datenschutz in Deutschland war und ist ein Witz.

  3. Dummerweise ist mein score auf 30prozent für ein einmalige Sache die schon 20 Jahre her ist hätte das nicht gelöst werden müssen seither bekomme ich weder Kredit noch kann ich meine Wohnung wechseln obwohl ich schon immer gearbeitet habe und ein sehr guten Einkommen habe bekomme auch keine wirkliche Information wenn sich das durch bezahlen löschen läßt wäre ich ja auch sofort bereit es zu bezahlen geht ja nur um 1000 Euro aber mich wundert es das der Eintrag nicht gelöscht ist deswegen nochmal meine frage wann müsste Schufa es löschen?
    Vielen dank im voraus für die Antworten

    • Wegen einer angeblich einmaligen Sache von vor 20 Jahren, die nur 1000 € beträgt und getilgt ist, kann ihr Score nicht auf 30 Prozent sein. Bei so einem niedrigen Score wird da schon deutlich mehr dahinterstecken, zumal die Schufa getilgte Einträge nach weiteren drei Jahren automatisch löscht.

  4. Warum wird die Schufa nicht abgeschafft? Sie sollte weg, sie hat überhaupt kein Recht irgend eine Auskunft von Menschen an andere weiter zu geben, in keiner Art und Form und überhaupt nicht, allein wegen den neuen Datenschutz. Es gibt sehr viele Menschen die bezahlen alle ihre Rechnungen zuverlässig und haben extenzielle Nachteile wegen einen Eintrag (Weitergabe von Daten) der unwichtig ist und keinen anderen was an geht! Die Schufa stempeltl Menschen damit ab macht sie zweit oder drittklassig oder mehr und diskriminiert diese dadurch. Wenn ein Betroffener wegen einen Fehler in Finanzen ein Leben lang schon das einfachste in unserer Zivilisation wie zB. Wohnung, Handy Vertrag, Auto usw nicht bekommt was man sogar zum arbeiten(weiter kommen) braucht ist so ein Unternehmen was sich Schufa nennt fehl am Platz. Natürlich rede ich nicht von Menschen die sich vorsätzlich, krankhaft oder durch Betrug Verschulden, nein nur von Menschen die alles tun Rechnungen bezahlen und kämpfen.

  5. Wenn eine Person offensichtlich auf Grund einer entsprechenden Schufa-Auskunft konkrete (materielle) Nachteile zu erleiden hat (Kredit, Wohnung) und die Bewertungsgrundlagen sind undurchsichtig, dann wäre das doch mal ein Fall für Schadenersatz nach Art. 82. Und wenn sich die Schufa rausredet, sie würde die Bewertung selbst ja nicht vornehmen, dann wäre sie Auftragsverarbeiter, denn ihre Arbeit basiert auf den entsprechenden Verträgen mit der Kreditwirtschaft.

  6. Wieso wird auch nicht ein Kauf von einem Eigenheim oder Haus in der Schufa aufgeführt, was ja eigentlich zu einem höheren Score führen würde?? Es werden teilweise nur die negativen Ereignisse dargestellt

        • Dafür müssen Sie aber nicht erst aktiv werden und „gemäß DSGVO“ gegenüber der Schufa verlangen, dass die Daten gelöscht werden. Die generelle Löschfrist von Bonitätseinträgen beträgt idR drei Jahre und die Schufa löscht die Einträge dann sowieso – egal, ob Sie sich bei der Schufa melden oder nicht.

          • Ich glaube du arbeitest für die Schufa und da solltest du wissen was bei euch alles schief läuft ich kann aus Erfahrung sagen das eure arbeit falsch ist und ihr nichts kontrolliert einfach irgendwas von Firmen annimmt und es so entsprechend umsetzt das ist eine Frechheit. Ganze 6 Jahre hatte ich ein Eintrag der nicht für mich war sondern für eine ganz andere Person bestimmt und ihr habt ihr mal einmal nachgeschaut weshalb und für wenn der Eintrag sein sollte NEIN. Macht erstmal eure arbeit richtig bevor ihr hier dumm rum kommentiert. Das ist auch bestimmt kein Einzelfall.

  7. Ich halte den Entscheid (allerdings jetzt ohne detaillierte Überprüfung) für sehr problematisch. Im Endeffekt läuft es an verschiedenen Punkten auf eine Interessenabwägung zwischen der Transparenz (und damit im Effekt der Möglichkeit des Sich-zur-Wehr-Setzens) und den Geschäftsinteressen der Schufa hinaus, wobei Letzteres offenbar im entscheidenden Punkt überwiegt. Angesichts des einerseits grossen öffentlichen Interesses an Sicherheit und Vertrauen im Geschäftsverkehr sowie den extremen Auswirkungen, die nur schon fehlerfreie Datenbearbeitungen auf betroffene Personen haben können, sollte m.E. eine Verstaatlichung mit gleichzeitiger Herstellung der Transparenz über den Algorithmus ernsthaft geprüft werden.
    Ich gehe übrigens durchaus davon aus, dass bereits der Score selber eine „Entscheidung“ im Sinne der DSGVO ist, und nicht erst der Entscheid eines Unternehmen über die Kreditwürdigkeit der betroffenen Person. Die Schufe „entscheidet“, einer Person x den Score n zu geben, auch wenn sie dann selber (ausser der Weitergabe) damit nichts weiter anfängt.

  8. Eine kommerzielle Nutzung fremder Daten durch die Schufa ohne
    ausdrückliche Genehmigung des Betroffenen ist aus meiner Sicht
    eindeutig rechtswidrig.

  9. „…ein Versagen der DSGVO?“

    Eindeutig nein. Vielmehr ein Versagen der Datenschutzbehörden. Ich hatte bei einem Onlinehändler
    Im Wert von ca. 60€ auf Rechnung einkaufen wollen. Der Schufaauskunft zugestimmt und nach der, jetzt neuen automatisierten Überprüfung, wurde lediglich die Auswahl auf Rechnung aus dem Onlineservice grau. Eine Mitteilung in der Art „Sie sind nicht kreditwürdig“ erschien nicht.

    Da ich mir finanziell keiner Schuld bewusst bin und an einen Systemfehler glaubte versuchte ich eine Woche später im Beisein von Zeugen einen Kauf in Höhe von 100€ zu tätigen. Auch hier wurde lediglich das Datenfeld „Auf Rechnung“ nur grau unterlegt.

    Ohne es zu wissend, aber als Datenschutzspezialist wohl ahnend, habe ich meine erste Schufaauskunft erstellen lassen nach Art.15 DSGVO.

    Beide Versuche einer Bestellung lösten eigenständige Scores aus, die mich nunmehr wohl als kreditunwürdig einstufen. Die erste Anfrage genügte dem Onlinehändler bzw. seinem Auftragsdatenverarbeiter nicht, mir einen Rechnungskauf in Höhe von 60€ zu gewähren.

    Nebenbei erwähnt, habe ich keine Schulden, Altlasten, Handyverträge und war der Schufa bis dato nicht bekannt. Ich bin im Besitz einer sorgfältig selbst abbezahlten Immobilie und habe ein sattes Plus auf dem Konto. Selbst meine Fahrzeuge zahle ich bar, indem ich mir das vorher anspare.

    Natürlich habe ich mich an den Onlineanbieter und den Auftragsdatenverarbeiter gewandt um eine Auskunft gem. Art. 15 Abs. 1 insbesondere h zu erwirken.

    Offenbar fehlte es allen Beteiligten, inklusive der Behörde des hessischen Datenschutzbeauftragten aber an Sachkenntnis. So habe ich eindeutig darauf verwiesen, dass ich nicht an der üblichen Kaffeesatzlesereiscorewertverteilung der Schufa interessiert bin. Die meiner Ansicht nach, dank BGH, legitimierte Möglichkeit zur Diskriminierung ganzer Bevölkerungsteile als nicht kreditwürdig ohne Beweislast auf Seiten der Auskunfteien, ist nur ein weiterer Baustein staatlichen Versagens.

    Vielmehr wollte ich lediglich wissen, ab wann ich denn für 60€ auf Rechnung kaufen könnte. Dies sei für mich in meinem Fall die „involvierte Logik“. Ist 97,42% nicht genug Herr/Frau Logarithmus?
    Wenn mich die „Schufa“ gekannt hätte, als gutverdienenden, unbescholtenen Steuerzahler, der in einem gutbürgerlichen Viertel mit Ein und Zweifamilienhäusern wohnt, hätte ich dann 99,9 oder gar 100%? Und wenn ja, kriege ich für 99,9% Ware im Wert von 60€.

    Denn offenbar sind Onlinehändler nicht an wohlhabenden Kunden interessiert, die bisher vor Ort in bar Geschäfte tätigten und nur ins Internet flüchten, da der Handel vor Ort die Auswahl nicht mehr anbietet oder anbieten kann.

    Kurz gesagt, der Onlinehändler schadet sich selbst, wenn er mir den Kauf auf Rechnung verwehrt und mich als kreditunwürdig abstempelt, nur weil mich die Schufa nicht kennt. Ich kaufe da halt nicht mehr ein. Aber vom Eintrag und vom „schlechten“ Score Wert, nach meiner Anfrage erfuhr ich nichts, hätte ich nicht aktiv eingegriffen. Noch schlimmer ist, das die Schufa angeblich die beiden Score Werte nicht sperrt, obwohl ich dies telefonisch eingefordert hatte. Gem. dem hessischem Datenschutz aber, ist bei der Schufa alles in Ordnung. Diese Art von Unterstützung hat Geschmack.

    Die Auskunft meiner Anfrage nach der involvierten Logik des Verfahrens an sich, konnte mir weder der Händler noch sein Zahlungsdienstleister, noch Schufa und schlimmer, auch nicht der Datenschutzbeauftragte des Landes Hessen (Sitz der Schufa) liefern.

    Ein Versagen der Verantwortlichen?

  10. Aus meiner Sicht ist es ein Versagen auf ganzer Ebene. Solange sich die gesamte Wirtschaft geschlossen auf die Schufa verlässt – ohne genauer zu hinterfragen wie sich Scores berechnen – und dazu bei jedem Vertrag die DSGVO-konforme Einwilligung der Betroffenen zur Weitergabe der Daten an die Schufa einholt – sind wir alle diesem System hilflos ausgeliefert. Die gern angeführte Alternative – einen Anbieter zu wählen, der keine Schufa-Einwilligung verlangt, ist Augenwischerei – außer ein paar Raubritter-Kreditanbietern macht das in Deutschland niemand. Bei allem Verständnis für den Bedarf die Kreditwürdigkeit von Kunden einschätzen zu können – ein datenbasiertes System wie das der Schufa sollte ausschließlich von einer unabhängigen staatlichen Stelle ausgeführt werden, die sich strengen Kontrollen und Transparenzgesetzen unterwerfen muss. Bezahlen muss dieses System die Wirtschaft (die die Kosten natürlich einpreisen wird), Auskünfte für Bürger müssen in vernünftigem Umfang (z.B. 1x jährlich Vollauskunft) kostenfrei sein.

    Wer kontrolliert eigentlich, ob die Schufa die Daten sicher im Sinne der DSGVO verwaltet und verarbeitet? Es gibt überhaupt keinen konkreten Verantwortlichen in dieser Form der Verarbeitung. Nur Beteiligte, die alle die Hände hochnehmen und sich als nicht zuständig erklären.

    Das Wiesbadener Urteil ist fragwürdig pauschal begründet und erinnert in der Sichtweise eher an das Social Score System in China, als an eine liberale Grundordnung, die den Menschen, Würde und Freiheit grundsätzlich VOR wirtschaftliche Interessen stellt. Zumal die grundsätzliche Legitimierung einer Schufa in der aktuellen Form fragwürdig ist.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.