Versicherungsunternehmen

Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 15/4659, Nr. 10.2, und 16. Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 16/1680, Nr. 10.1) erstellen lassen.

Die Wissenschaftlichkeit eines Scoring-Verfahrens ist zwar keinesfalls alleiniger Maßstab für die datenschutzrechtliche Bewertung, sie ist jedoch durchaus von Bedeutung.

Wenn Scoring-Verfahren, die jeglicher wissenschaftlicher Grundlage entbehren und damit einer "Kaffeesatzleserei" gleichkommen, eingesetzt werden, um automatisierte Entscheidungen zu treffen, oder wenn sie ein erhebliches Gewicht für Entscheidungen haben, die den Betroffenen erheblich beeinträchtigen, dann besteht Grund zur Annahme, dass die schutzwürdigen Belange des Betroffenen gegenüber dem Interesse des Unternehmens an der Nutzung der Score-Werte überwiegen.

Die Aufsichtsbehörde führte deshalb eine Prüfung des Scoring-Verfahrens bei der SCHUFA durch und ließ sich dabei die Ergebnisse des Gutachtens von dessen wissenschaftlich verantwortlichem Verfasser erläutern. Im Anschluss an die Prüfung bat die Aufsichtsbehörde die SCHUFA um eine Kurzfassung des Gutachtens, die daraufhin durch das Statistische Beratungslabor erstellt und an die Mitglieder des Düsseldorfer Kreises verteilt wurde.

Die Gutachter kamen zu dem Ergebnis, dass das Scoring-Verfahren der SCHUFA wissenschaftlichem Standard entspricht. Dies betrifft sowohl die Auswahl des Verfahrens als auch dessen Durchführung. Das bei der Erstellung der Score-Karten verwendete Verfahren wird als "logistische Regression" bezeichnet und ist eine fundierte, seit langem praxiserprobte mathematisch-statistische Methode zur Prognose von Risikowahrscheinlichkeiten, die auch in der Ökonomie und der Medizin verwendet wird. Das Deutsche Krebsforschungszentrum in Heidelberg beabsichtigt beispielsweise, eine epidemiologische Studie zu Wachstum und Ausbreitung von Brustkrebs mithilfe des logistischen Regressionsmodells durchzuführen, die zur Verbesserung der Früherkennung und Behandlung von Brustkrebs dienen soll.

Das Verfahren der logistischen Regression hat aus wissenschaftlicher Sicht keinen "Black-Box"-Charakter, im Gegensatz zur Methodik der neuronalen Netze.

Eine Score-Ermittlung erfolgt nur, wenn zum Betroffenen keine Negativdaten vorliegen oder allenfalls solche Negativdaten gespeichert sind, die mindestens seit einem Jahr erledigt sind. Die SCHUFA-Score-Broschüre ist insoweit etwas missverständlich, denn danach erfolgt eine Score-Ermittlung nur, wenn sich der Kreditinteressent "bei anderen Geschäften bisher stets vertragstreu verhalten hat". Die Broschüre wird von der SCHUFA überarbeitet werden.

Für die Ermittlung des Score-Werts werden durch anonymisierte Auswertung der im SCHUFA-Datenbestand gespeicherten Daten Gruppenprofile erstellt, aus denen sich ableiten lässt, bei welcher Personengruppe mit zunächst positivem Datenbestand sich in der Vergangenheit welches Kreditausfallrisiko realisiert hat. Diese personengruppenbezogenen Vergangenheitswerte werden als Prognose auf die Zukunft übertragen, wobei davon ausgegangen wird, dass sich dieselbe Personengruppe auch in Zukunft gleich verhalten wird. Da das Kreditausfallrisiko ganz unterschiedlich sein kann, je nachdem, um welche Geschäfte mit kreditorischem Risiko es sich handelt, wird beim Scoring-Verfahren auch entsprechend differenziert, indem für verschiedene Branchen (z.B. Banken, Handelsunternehmen, Telekommunikationsunternehmen) eine separate Score-Berechnung erfolgt.

Bei der Entwicklung der Score-Karten werden diejenigen Parameter (Merkmale) herausgesucht, die am besten zu den beobachteten Ausfallrisiken passen, die also die größte Relevanz für die Prognose besitzen.

Bei der konkreten Score-Berechnung wird eine Auswahl aus den Merkmalen, die zu der betreffenden Person gespeichert und aus der Eigenauskunft ersichtlich sind, verwendet. Soweit für die Score-Karten und die ScoreBerechnung zusätzliche Merkmale gebildet werden, erfolgt dies durch Kategorisierung und Transformation. Zum Beispiel wird das zusätzliche Merk mal "Anzahl der offenen Kredite" aus der Summe der Eintragungen von offenen Krediten gebildet. Die Merkmale beinhalten damit keine neuen, zusätzlichen Angaben gegenüber den aus der Eigenauskunft ersichtlichen.

Im Rahmen der Prüfung wurden der Aufsichtsbehörde die Faktoren (Parameter) mehrerer Score-Karten genannt.

Dabei hat die SCHUFA ausdrücklich bestätigt, dass derzeit nicht genutzt werden:

- die Einholung von Selbstauskünften,

- bestrittene Daten, auch nicht das Merkmal "bestrittene Daten in Prüfung",

- die Ausübung sonstiger datenschutzrechtlicher Rechte des Betroffenen, z.B. Berichtigung, Löschung; wenn Betroffene derartige Rechte geltend machen, wird dies zwar von der SCHUFA beachtet, aber die Tatsache der Geltendmachung als solche wird nicht im SCHUFA-Datensatz des Betroffenen gespeichert,

- Adresse; das SCHUFA-Scoring enthält keine soziodemographischen Komponenten, es wird also beispielsweise nicht ermittelt und nicht berücksichtigt, ob die Adresse dem sozialen Wohnungsbau zuzuordnen ist,

- Nationalität; wird als solche ohnehin nicht gespeichert, wäre evtl. aber aus dem Geburtsort ableitbar, dies geschieht jedoch nicht (vgl. bereits

16. Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drucks. 16/1680, Nr. 10.1).

Es erfolgt eine dauernde Kontrolle (permanentes Monitoring) anhand der tatsächlichen Entwicklung des Datenbestands. Mithilfe von Ex-post-Analysen lässt sich die Richtigkeit der Prognose überprüfen. Aufgrund des Monitorings werden also eine Validierung und gegebenenfalls auch eine Anpassung der ScoreKarten, soweit dies beispielsweise aufrund der Änderung der wirtschaftlichen Gegebenheiten oder Verhaltensweisen der Menschen erforderlich ist, durchgeführt. Dadurch wird sichergestellt, dass die Score-Karten auch unter sich ändernden wirtschaftlichen Bedingungen ihre Gültigkeit behalten.

Das von der Aufsichtsbehörde nach der Prüfung um Stellungnahme gebetene Statistische Bundesamt erklärte, dass gegen das Gutachten aus theoretischer Sicht keine Einwände bestünden. Die Darstellung und Schlussfolgerungen seien aus Sicht des Statistischen Bundesamtes plausibel. Der wissenschaftlich verantwortliche Verfasser sei dem Statistischen Bundesamt als wissenschaftliche Autorität im Bereich der statistischen Methodik und das eingesetzte Verfahren der logistischen Regression ist als ein wissenschaftlich anerkanntes Verfahren bekannt. Die Verwendung des Verfahrens in dem dargestellten Kontext scheine zweckmäßig zu sein.

Aufgrund des Gutachtens bestehen daher keine Zweifel mehr an der Wissenschaftlichkeit des von der SCHUFA eingesetzten Scoring-Verfahrens.

Transparenz des Scoring-Verfahrens, Nutzung des Score-Werts durch Vertragspartner

Vor Redaktionsschluss dieses Berichts teilte die SCHUFA mit, dass die Umstellung auf das neue Datenverarbeitungssystem voraussichtlich bis Ende 2006 erfolge und den Betroffenen dann auch Auskunft über den an SCHUFAVertragspartner übermittelten Score-Wert gegeben werden könne. Derzeit erhalten Betroffene nur Auskunft über den tagesaktuellen Score-Wert.

Wie bereits im letzten Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden ausgeführt (vgl. LT-Drucks. 16/1680, Nr. 10.2), vertreten die Aufsichtsbehörden die Auffassung, dass gegenüber dem Betroffenen der tatsächlich übermittelte Score-Wert beauskunftet werden soll.

In der letzten Sitzung der Arbeitsgruppe "Auskunfteien/SCHUFA" des Düsseldorfer Kreises wurde im Hinblick auf die Transparenz des Verfahrens erörtert, ob dem Betroffenen gegenüber die in die Berechnung des ScoreWerts einfließenden Faktoren in der Selbstauskunft anzugeben sind.

Angesprochen wurde auch die Möglichkeit, dass Banken den Score-Wert der SCHUFA erhalten und diesen mit eigenen weiteren Daten in einem eigenen

Score-System verwenden. Es bestand die Befürchtung, dass es zu fehlerhaften Berechnungen (Doppel-Berücksichtigung von Merkmalen) kommen könnte, wenn eine Bank die Faktoren, die in die Berechnung des SCHUFAScores einfließen, nicht kenne. Hierzu hatte die SCHUFA bereits im Rahmen der oben genannten Prüfung (siehe oben Nr. 6.1) mitgeteilt, dass sie Banken, die den SCHUFA-Score in eigene Score-Systeme einfügten, die berücksichtigten Faktoren bekannt gebe.

Bei der weiteren Erörterung des SCHUFA-Scoring-Verfahrens werden voraussichtlich auch die von anderen Auskunfteien angebotenen ScoringVerfahren einbezogen werden.

Besonderes Augenmerk wird ebenfalls darauf zu richten sein, ob Vertragspartner, welche Score-Werte erhalten, die Vorgaben des § 6a BDSG beachten.

Filtertext bei Widerspruch gegen die Score-Berechnung Betroffene können bei der SCHUFA Widerspruch gegen die Berechnung eines Score-Werts erheben, sodass für sie kein solcher Wert mehr berechnet wird. Widerspricht ein Betroffener der Score-Ermittlung und bleibt er auch nach Hinweisen der SCHUFA zum Score-Verfahren bei dieser Haltung, übermittelte die SCHUFA ihren Vertragspartnern, die nach dem Score-Wert fragen, den Text "Betroffener widerspricht Scoreberechnung". In der Arbeitsgruppe "Auskunfteien/SCHUFA" äußerten die beteiligten Aufsichtsbehörden jedoch Bedenken gegen diese Formulierung und forderten eine neutralere Formulierung. Die SCHUFA sagte dies zu.

Gegenüber der Aufsichtsbehörde bestätigte die SCHUFA nunmehr, dass diese Zusage mittlerweile umgesetzt wurde. Der ursprünglich bekannt gegebene Text "Betroffener widerspricht Score-Berechnung" erscheint nur noch in der Selbstauskunft, damit der Betroffene die Bestätigung erhält, dass sein Widerspruch beachtet wird. Vertragspartner erhalten den Text "über angefragte Person erfolgt keine Score-Ermittlung" angezeigt.

Erweiterung des Kreises der Vertragspartner der SCHUFA

Die SCHUFA wurde aufgefordert, sich zu einem Vorschlag der Arbeitsgruppe "Auskunfteien/SCHUFA" zu äußern, der das Verfahren für Wohnungsunternehmen betrifft. Der Vorschlag sieht im Wesentlichen eine Begrenzung auf eine "geschlossene Benutzergruppe" - ausschließlich Wohnungsunternehmen - vor. Eine Stellungnahme der SCHUFA zu dem Vorschlag der Arbeitsgruppe der Aufsichtsbehörden lag bis zum Redaktionsschluss dieses Berichts nicht vor.

Das Vorhaben, Sicherheitsunternehmen als Vertragspartner für das B-Verfahren zu gewinnen, wird von der SCHUFA nicht weiterverfolgt.

Die SCHUFA beabsichtigte, Versicherungsunternehmen die Möglichkeit zu eröffnen, Vertragspartner für das B-Verfahren zu werden. Die SCHUFA verwies insbesondere darauf, dass nach Ansicht der Versicherer ein Zusammenhang zwischen der Bonität und dem Schadensrisiko, dem Risiko, dass der Versicherungsfall eintritt, bestehe. Dies wurde von den Aufsichtsbehörden in der Arbeitsgruppe "Auskunfteien/SCHUFA" im Hinblick auf die Voraussetzungen des § 29 Abs. 2 BDSG kritisiert, da das Schadensrisiko grundsätzlich kein kreditorisches Risiko darstellt und nicht jedes finanzielle Risiko die Übermittlung von Bonitätsdaten rechtfertigt.

Die SCHUFA versicherte gegenüber der Arbeitsgruppe inzwischen, dass das B-Verfahren für Versicherer jedenfalls nicht umgesetzt werde, solange der Zusammenhang zwischen Bonität und Schadensrisiko nicht hinreichend wissenschaftlich nachgewiesen sei.

Die geplante und teilweise bereits realisierte Teilnahme von Inkassounternehmen am SCHUFA-Verfahren beurteilen die in der Arbeitsgruppe "Auskunfteien/SCHUFA" vertretenen Aufsichtsbehörden differenziert.

Wenn Inkassounternehmen als Erfüllungsgehilfen von Unternehmen tätig werden, die bereits Vertragspartner der SCHUFA sind, ist dies unproblematisch, weil es sich um keine echte Erweiterung des Kreises der SCHUFAVertragspartner handelt.