Anzeige

SCHUFA

Quelle: Jarretera / Shutterstock.com

Während viele aktuell darauf pochen, die DSGVO abzuschwächen, zeigt das Beispiel SCHUFA deutlich, dass sie nicht weit genug greift. Aufgrund der bereits bestehenden Ausnahmen wird die DSGVO nämlich zum zahnlosen Tiger – zumindest, was die Transparenz der SCHUFA angeht.

Die SCHUFA weist jeder Person einen Score zu, in den sehr viele Daten einfließen und der sich nach Ansicht der IT-Sicherheitsexperten der PSW GROUP Consulting nur bedingt als praxistauglich erweist. Dazu sagt Geschäftsführerin Patrycja Schrenk: „Dieser Score beeinflusst das Leben vieler Menschen massiv. Wer eine Wohnung mieten möchte, einen Kredit oder auch nur ein neues Smartphone braucht, ist auf eine gute SCHUFA-Bewertung angewiesen.

Solche Entscheidungen werden aber über Algorithmen getroffen. Durch das berechtigte Interesse und die Einwilligung kraft Vertrag können Verbraucher dem jedoch nicht beikommen und müssen damit leben, dass Entscheidungen über sie durch einen Scorewert getroffen werden.“ Wie der Score konkret berechnet wird, ist ein wohlgehütetes Geschäftsgeheimnis der SCHUFA Holding AG. Allerdings: Je höher der SCHUFA-Score ausfällt, umso weißer ist die finanzielle Weste einer Person. Werte unter 50 Prozent entsprechen einem kritischen Risiko, bei dem die Ausfallwahrscheinlichkeit als hoch angesehen wird.

Um den Score zu errechnen, verarbeitet die SCHUFA zum einen Personendaten, zu denen Name, Vorname, Geburtsdatum, -ort, die aktuelle sowie frühere Anschriften gehören. Darüber hinaus werden Informationen gespeichert, die bei Aufnahme sowie vertragsgemäßer Durchführung von Geschäften anfallen. Das sind also Daten zu Girokonten, Kreditkarten, Ratenkredite, Telekommunikationskundenkonten, P-Konten sowie Basiskonten. Auch Informationen über Forderungen sowie deren Erledigung, Informationen über etwaig missbräuchliches oder betrügerisches Verhalten, beispielsweise Bonitäts- oder Identitätstäuschungen sowie Informationen aus öffentlichen Verzeichnissen sowie amtlichen Bekanntmachungen werden gespeichert.

„Alle diese Daten werden zur automatisierten Auswertung herangezogen, woraus dann – für Dritte nicht nachvollziehbar, da hier das Geschäftsgeheimnis greift – der SCHUFA Score-Wert kalkuliert wird. Das bedeutet, dass Verbraucher einem automatisierten Entscheidungsprozess unterworfen sind und es selbst bei guter Bonität passieren kann, dass eine Kreditvergabe negativ entschieden wird, weil der Score nicht passt“, kritisiert Schrenk und verdeutlicht noch einmal: „Es entsteht also die Gefahr, dass automatisiert unangemessen entschieden, falsch bewertet und dadurch der Betroffene benachteiligt oder diskriminiert wird. Einzelfallprüfungen durch echte Menschen wären hier verlässlicher.“

Nun soll das Risiko solcher Fehl-Bewertung durch die DSGVO aufgefangen werden. Gemäß Artikel 22 beispielsweise sollten Algorithmen keine wichtigen Entscheidungen für Betroffene treffen. Zudem verlangt Artikel 15, Betroffenen „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen“ von Algorithmen bereitzustellen. „Nur, wenn die Funktionsweise von Algorithmen offengelegt wird, kann durch unabhängige Kontrollen gewährleistet werden, dass undurchsichtige Entscheidungen durch Algorithmen über Betroffene nicht gefällt werden. Und trotzdem greift ausgerechnet dieser Passus bei der SCHUFA nicht. Denn die SCHUFA selbst trifft mit ihren Algorithmen keine Entscheidungen über Menschen. Vielmehr entscheiden jene Unternehmen, die sich nach dem Score-Wert der SCHUFA richten und diesen als Grundlage für eigene Entscheidungen heranziehen“, erklärt Schrenk.

Auch das Löschen von Schufa-Daten ist gar nicht so einfach: Zwar verlangt die DSGVO zur Datenspeicherung ein berechtigtes Interesse oder die Einwilligung Betroffener. Doch vielen Menschen ist nicht bewusst, dass sie in eben diese Datenspeicherung bereits eingewilligt haben. Zum Beispiel, indem sie einen Vertrag mit einem Unternehmen abgeschlossen haben, welches eine Bonitätsauskunft von der SCHUFA einholt. Das genügt zur Einwilligung.

Gemäß Artikel 17 der DSGVO lässt sich diese Einwilligung zwar widerrufen, allerdings geben Verbraucher ihre Einwilligung spätestens dann erneut, wenn sie den nächsten Vertrag bei einem SCHUFA-Vertragspartner unterzeichnen. „Keine Einträge in der SCHUFA sind aber nicht unbedingt besser als Negativ-Einträge. Denn ohne Informationen zur Bonität des künftigen Schuldners müssen Unternehmen ein Geschäft gar nicht erst abschließen. Hinzu kommt die Tatsache, dass bei Personen, die der SCHUFA nicht bekannt sind, Geodaten anfallen können. Dann haben jene Personen mehr Glück bei einer Kreditanfrage, die in gehobeneren Gegenden leben“, warnt Schrenk.

Nun bestünde die Möglichkeit, sich darauf zu beziehen, dass Daten laut DSGVO gelöscht werden dürfen, wenn der Zweck der Datenspeicherung nicht mehr existiert. „In der Praxis ist dieses Recht bei der SCHUFA jedoch schwer durchsetzbar, denn der Betroffene muss nachweisen, dass der Zweck nicht mehr vorhanden ist. Die SCHUFA findet meist Gründe, warum die Daten dennoch gespeichert bleiben müssen. Und diese Gründe hatten bislang vor Gericht oft Bestand.“

www.psw-consulting.de
 


Weitere Artikel

Laptop

Ein Jahr nach „Schrems II-Urteil": Rechtslage weiterhin unklar

Es ist ein Jahr her, dass der EuGH (Europäischer Gerichtshof) das „Schrems II-Urteil" erlassen hat, mit dem das Privacy-Shield-Abkommen gekippt wurde. Das Privacy-Shield-Abkommen legitimierte den Transfer personenbezogener Daten zwischen der EU und den USA in…
Datenschutz

Datenschutz versus Innovation?

Jürgen Litz, Geschäftsführer der cobra – computer’s brainware GmbH sowie der cobra computer's brainware AG in Tägerwilen, Schweiz, äußert sich als Experte für DSGVO-konformes Arbeiten über den anhaltenden Diskurs zwischen Datenschützern und Unternehmen.
Cloud Computing

Eine Frage der Prioritäten: Datenschutz in Cloud-Umgebungen

In Folge der Pandemiebestimmungen scheint sich der Homeoffice-Betrieb zu einer festen organisatorischen Säule in Unternehmen zu etablieren.
Datensicherheit

Immer mehr Meetings: Deshalb ist Datensicherheit wichtig

Zoom, Teams, Skype und Co. – Videokonferenzen sind spätestens seit 2020 integraler Bestandteil des Berufsalltags geworden. Doch bereits vor Ausbruch der Pandemie waren virtuelle Meetings beliebt.
EMail

BIMI-Standard: Entrust kündigt Verfügbarkeit von Verified Mark-Zertifikaten an

Entrust, Anbieter im Bereich vertrauenswürdige Identitäten, Zahlungen und Datenschutz, gibt die allgemeine Verfügbarkeit seiner Verified Mark Zertifikate (VMCs) zur Unterstützung des „Brand Indicators for Message Identification (BIMI)“-Standards für starke…

Privacy by Design einmal ganz konkret

Die DSGVO schreibt Privacy by Design für die Software-Entwicklung vor. Sie ist jedoch bei der Konkretisierung dessen, was Privacy by Design denn nun genau bedeutet, sehr vage.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.