Dieser Beitrag soll einen ersten Überblick zum „Scoring & Bonitätsmanagement“ für Unternehmen liefern, insbesondere welche datenschutzrechtlichen Rahmenbedingungen hierbei seit Geltung der DSGVO zu beachten sind[1].

Scorewert und der Blick in die Glaskugel

Unternehmen, die sich wirtschaftlich absichern wollen, greifen auf sog. Scorewerte von Auskunfteien (z.B. Schufa, Creditreform, Arvato Infoscore, Bürgel etc.) zurück. Ein Scorewert ist ein Zahlenwert (ähnlich einer Schulnote) und gilt zwischenzeitlich unstreitig als personenbezogenes Datum i.S.d. Art. 4 Nr. 1 DSGVO.

  • Das bedeutet, dass jede Verarbeitung eines Scorewerts datenschutzrechtlich geprüft werden und legitimiert sein muss.

Der Scorewert wird in einem komplexen und nicht öffentlich einsehbaren Berechnungsverfahren ermittelt (siehe BGH-Urteil zum Schutz der Scoreformel Az. VI ZR 156/13). Kernelement des Berechnungsverfahrens ist ein Algorithmus, der u.a. auch im Bereich der Automatisierung durch künstliche Intelligenz immer mehr an Bedeutung gewinnt.

Der Sinn und Zweck des Scorewerts ist neben der reinen Analyse des Ist-Zustands, eine Prognose von zukünftigen Verhalten zu generieren. Über den Scorewert wird also ein Wahrscheinlichkeitsurteil darüber gefällt, welches Verhalten einer natürlichen Person unter bestimmten Umständen zu erwarten ist (vgl. Legaldefinition Profiling als Überbegriff, Art. 4 Nr. 4 DSGVO). Damit ist Scoring im Sinne der DSGVO eine Form des Profiling, vgl. Art. 4 Nr. 4 DSGVO.

Der im Handel beliebte Kreditscore trifft z.B. eine Aussage über die Zahlungsausfallwahrscheinlichkeit. Der Händler kann den Kreditscore z.B. so einsetzen, dass Kunden mit einem Scorewert unterhalb einer bestimmten und selbst festgelegten Grenze nur noch sichere Zahlarten wie Vorkasse, etc. angeboten bekommen.

Der Inkassoscore trifft eine Aussage über die Beitreibungswahrscheinlichkeit einer ausstehenden Forderung. Der Mietscore trifft eine Aussage über die wahrscheinliche Zuverlässigkeit eines Mieters (Zahlungsmoral, Verhalten bei Kündigung).

Der Einsatz von Scorewerten ist also in vielen Arten denkbar. In China wird seit einigen Jahren bereits an der Einführung eine Socialscores (Social Credit System – SCS) gearbeitet, mit dessen Hilfe der Zugang zu Bildungs- und sozialen Einrichtungen oder die Vergabe von Reisevisa gesteuert werden sollen (die objektive Datenbasis ist dabei ein gewaltiges Problem, wir berichteten). Ein Preisscore ist als Mittel zur individuellen Preispolitik bereits in unserer Realität angekommen (wir berichteten).

Prinzip der Gegenseitigkeit

Zum Verständnis eines Scoring-Systems ist es wichtig zu wissen, dass Auskunfteien mit Unternehmen häufig nach dem Prinzip der Gegenseitigkeit kooperieren. Das heißt, dass ein Unternehmen den zu einer Person angefragten Scorewert regelmäßig nur erhält, wenn im Gegenzug auch bestimmte personenbezogene Daten zu dieser Person durch das Unternehmen an die Auskunftei weitergegeben werden. Ob dies im Einzelfall zutrifft, ergibt sich regelmäßig aus dem mit der Auskunftei abzuschließenden Vertrag („Auskunfteivertrag“ bzw. „Kooperationsvertrag“).

Durch das Prinzip der Gegenseitigkeit möchte eine Auskunftei sicherstellen, dass einerseits die natürliche Person, zu der ein Scorewert angefragt wird, eindeutig identifiziert werden kann, andererseits aber auch, dass der eigene Datenbestand immer möglichst aktuell bleibt und der sich dynamisch ständig verändernde Scorewert immer auch den tatsächlichen Verhältnissen entspricht.

à Aus der Sicht eines Unternehmens sind in datenschutzrechtlicher Hinsicht in diesem Fall also zwei Datenflüsse relevant:

  • Die Erhebung und die Verarbeitung des Scorewerts im Unternehmen und
  • Die Datenübermittlungen an eine Auskunftei (sog. Einmeldung).

In beiden Fällen müssen die Unternehmen eigenverantwortlich die datenschutzrechtliche Zulässigkeit prüfen und sicherstellen. Dieser Beitrag behandelt zunächst die datenschutzrechtlichen Rahmenbedingungen für die Verarbeitung des Scorewerts aus Sicht des Unternehmens. Welche Rechtsgrundlagen für Datenübermittlungen an Auskunfteien in Frage kommen, wird in einem Folgebeitrag besprochen werden.

Im Verhältnis Unternehmen – Auskunftei kann vorneweg klargestellt werden, dass die einen Scorewert nutzenden Unternehmen und die den Scorewert berechnenden Auskunfteien nebeneinander verantwortlich sind und nicht im Verhältnis einer Auftragsverarbeitung zueinanderstehen.

Datenschutzrechtliche Grundlagen am Beispiel Kreditscore

Beschäftigt man sich zum ersten Mal mit dieser Thematik, stößt man auf die Frage, welche besonderen Rechtsgrundlagen die DSGVO für das Scoring vorsieht.

Diese Frage ist schnell beantwortet. Nämlich keine! Alleine in Art. 4 Nr. 4 DSGVO findet sich als besondere Regelung eine Legaldefinition des Profiling, unter das das Scoring fällt. Daneben sieht die DSGVO jedoch keine besonderen Rechtsgrundlagen für das Scoring vor. Das neue Bundesdatenschutzgesetz trifft in § 31 BDSG eine Reihe ergänzender Regelungen. Allerdings handelt es sich hierbei nach einhelliger Ansicht der Rechtsgelehrten nicht um Erlaubnistatbestände, sondern lediglich um Formvorschriften[2].

  • Das bedeutet also, dass sich die rechtliche Zulässigkeit des Scorings an den allgemeinen datenschutzrechtlichen Grundsätzen orientiert.

Bezüglich des Kreditscorings bedeutet dies, dass der Scorewert durch einen Händler gem. Art. 6 Abs. 1 lit. f) DSGVO verarbeitet werden darf, wenn der Händler hierfür berechtigte Interessen anführen kann und keine Interessen der betroffenen Personen entgegenstehen.

Möchte also z.B. ein Online-Händler über den Kreditscore die Zahlungsausfallwahrscheinlichkeit in den Kaufprozess einbeziehen, stellt sich die Frage, wann der Online-Händler hieran ein berechtigtes Interesse hat. Ein berechtigtes Interesse die Zahlungsausfallwahrscheinlichkeit eines Kunden zu kennen kann für den Online-Händler erst dann bestehen, wenn für den Online-Händler auch tatsächlich das Risiko besteht, dass der Kunde seiner Zahlung nicht nachkommen kann. Ein solche Risiko besteht natürlich dann nicht, wenn der Kunde seine Ware z.B. bar, mit Vorkasse oder mit Kreditkarte (= Garantieübernahme durch Bank) bezahlt.

Mit anderen Worten: Erst, wenn der Kunde auf Rechnung kaufen kann oder ein SEPA-Lastschriftmandat erteilt, entsteht für den Online-Händler ein faktisches Risiko, dass die Zahlung ausfällt.

  • Erst, wenn ein Kunde eine risikobehaftete Zahlart (Lastschrift, Kauf auf Rechnung) auswählt, hat der Online-Händler tatsächlich berechtigte Interessen die Zahlungsausfallwahrscheinlichkeit über einen Scorewert zu ermitteln und diese Information im weiteren Kaufprozess zu verarbeiten und zu nutzen.
  • Der Kunde hat in diesem Fall auch keine überwiegenden schutzwürdigen Gegeninteressen, da er sich bewusst für eine Zahlart entschieden hat, die ihn durch die Vorleistungspflicht des Online-Händlers bevorteilt.

Fazit

Für den Online-Händler bedeutet dieses Ergebnis, dass ein Scorewert zu einem Kunden (= natürliche Person) erst dann in den weiteren Kaufprozess einbezogen werden darf, wenn ein tatsächliches wirtschaftliches Ausfallrisiko besteht.

Ein Scorewert darf also nicht pauschal zu Beginn eines Online-Kaufs abgefragt werden, sondern erst, nachdem sich der Kunde für den Kauf auf Rechnung oder für die Zahlung per Lastschrift entschieden hat. Die faktische Umsetzung dieser zeitlichen Abfolge ist also entscheidend für die datenschutzrechtliche Zulässigkeit des Vorhabens.

Ausblick

Zu diesem Themenkomplex werden weitere Folgeartikel erscheinen, die sich u.a. damit beschäftigen werden welche personenbezogene Daten an eine Auskunftei übermittelt werden dürfen (Positiv- vs. Negativmerkmale), welche besonderen Anforderungen an die Informationspflichten oder an das Auskunftsrecht zu stellen sind, inwieweit das Verbot automatisierter Einzelentscheidung den Entscheidungsprozess beeinflusst oder was es mit der sog. Schufa-Klausel auf sich hat.

[1] Die spezialgesetzlichen Vorschriften für Banken aus dem KWG bleiben außer Betracht.

[2] Es wird stark angezweifelt, ob der nationale Gesetzgeber diese Regelungen überhaupt hat erlassen dürfen. Denn eine explizite Öffnungsklausel findet sich in der DSGVO nicht. Daher halten viele Stimmen diese Regelungen insgesamt für europarechtswidrig.