Ende Juni veröffentlichte der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg eine lesenswerte Broschüre für Unternehmen zum Thema Scoring „Scoring – solide Prognose oder miese Nummer?“.
Insbesondere Freunde fragen mich immer wieder, ob das Geschäftsmodell der sog. Auskunfteien wie die Schufa, Creditreform, Bürgel (um nur drei bekannte Namen zu nennen) denn überhaupt zulässig ist. Bei dieser Frage schwingt regelmäßig schon mit, dass „das alles doch gar nicht sein kann“.
Um den Nebel etwas zu lichten, möchte ich Ihnen die wichtigsten Kernpunkte aus der eingangs genannten Broschüre zusammenstellen und anschließend kurz darauf eingehen, wann ein Unternehmen der Privatwirtschaft einen Scorewert nutzen darf.
Was ist ein Scorewert?
Unternehmen können in bestimmten Fällen bei einer Auskunftei einen Scorewert zu einer einzelnen Person abfragen. Dieser Scorewert ist eine ganz konkrete Zahl und gibt eine Prognose über ein wahrscheinliches in der Zukunft zu erwartendes Verhalten dieser Person ab. In der Praxis am häufigsten anzutreffen ist der Scorewert zur Zahlungsausfallwahrscheinlichkeit.
Möchte Lieschen Müller zum Beispiel online ein neues Kleid auf Rechnung kaufen, dann liegt das Zahlungsausfallrisiko vollständig beim Verkäufer. Denn der Verkäufer bekommt sein Geld erst, wenn Lieschen das Kleid bereits erhalten hat. Für den Verkäufer ist es nun also extrem wichtig zu wissen, ob Lieschen Müller die Rechnung bezahlen können wird, mit anderen Worten wie hoch die Zahlungsausfallwahrscheinlichkeit, also das Ausfallrisiko ist. Genau das drückt der Scorewert aus. Der Verkäufer kann bei der Bestellung bei einer Auskunftei einen Scorewert zu Lieschen Müller abfragen, um sich abzusichern und kann dann in aller Ruhe entscheiden, ob der Deal zustand kommen soll. Ist dem Verkäufer das Risiko zu hoch, kann er z.B. auf Sofortüberweisung bestehen und den Rechnungskauf ablehnen.
An diesem Beispiel zeigt sich, dass ein Scorewert einem Unternehmen der Privatwirtschaft hilft die eigenen Risiken zu steuern. Folglich dürfen Auskunfteien in bestimmten, genau definierten Grenzen, personenbezogene Daten von Privatpersonen erheben, sammeln, in einen Scorewert umrechnen und diesen Scorewert an anfragende Unternehmen herausgeben.
Was darf rein in den Scorewert?
Es wird aber auch klar, dass es ganz entscheidend darauf ankommt, welche Informationen zu Lieschen Müller in eine Scorewertberechnung einfließen dürfen, dass diese Informationen den Tatsachen entsprechen müssen und dass die Berechnung eines Scorewerts mitsamt Ergebnis nachvollziehbar begründet sein muss. Die aktuelle Broschüre des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg gibt hierzu einen guten Überblick anhand folgender sieben Fragen mit Beispielen (ab Seite 6):
- „Wann ist eine Scorewertberechnung datenschutzkonform?“
- „Wie wird eine zutreffende Tatsachengrundlage sichergestellt?“
- „Was versteht man unter einer ausreichenden Datenbasis?“
- „Wann sind Daten für die Score-Berechnung geeignet?“
- „Wie wird eine individuelle Bewertung sichergestellt?“
- „Wie wird der Tatsachenkern einer Score-Berechnung überprüfbar und erklärbar?“
- „Welche Rechte habe ich gegenüber scorewertberechnenden und -verarbeitenden Stellen?“
Zurück zu unserem Verkäufer:
Ein Unternehmen, das einen Scorewert abfragen möchte, hat üblicherweise keinen Einfluss auf die konkreten Berechnungs- und Gewichtungsmodelle der Auskunfteien. Nach Ansicht des BGH ist die sog. Scoreformel, also das konkrete Berechnungsmodell, als Geschäftsgeheimnis von neugierigen Blicken von außen geschützt (Urt. v. 28.01.2014 Az. VI ZR 156/13).
Für unseren Verkäufer stellt sich also die Frage, wann er denn nun konkret einen Scorewert abfragen darf?! Die Antwort auf diese Frage ist ein Klassiker: „Es kommt darauf an!“ Konkret kommt es nämlich auf den konkreten Scorewert an, den der Verkäufer nutzen möchte. In unserem Beispiel möchte der Verkäufer mehr über die Zahlungsmoral von Lieschen Müller wissen.
Da es sich bei dem Scorewert um ein personenbezogenes Datum handelt, muss der Verkäufer also hier erst einmal selbst prüfen, ob er einen Scorewert über Lieschen Müller zur Zahlungsausfallwahrscheinlichkeit erheben darf. Rechtsgrundlage können in unserem Beispiel berechtigte Interessen gem. Art. 6 Abs. 1 lit. f DSGVO sein, WENN der Scorewert zur Zahlungsausfallwahrscheinlichkeit für den Verkäufer tatsächlich ERFORDERLICH ist. (Die daneben bestehenden Transparenzpflichten, Information gem. Art. 13 DSGVO, seien der Vollständigkeit halber nur kurz erwähnt.)
Ganz praktisch gedacht:
Hat der Verkäufer ein echtes Zahlungsausfallrisiko, dann darf er den Scorewert bei der Auskunftei anfragen und nutzen! Nun ist aber Vorsicht geboten, denn ein Zahlungsausfallrisiko beseht nur dann, wenn der Verkäufer tatsächlich in Vorleistung geht, wie bei einem Rechnungskauf oder bei Lastschrift. Bei Sofortüberweisung oder bei Barzahlung gerade nicht.
Ein Unternehmen muss sich also immer genau hinterfragen und prüfen, ob tatsächlich ein relevantes Risiko besteht, das über einen Scorewert eingeordnet werden soll. Scorewerte pauschal abzufragen, „um auf der sicheren Seite zu sein“, ist also ganz klar datenschutzrechtlich unzulässig!
Die Lösung und die datenschutzrechtliche Zulässigkeit ist nach unserer Erfahrung regelmäßig durch den richtigen Zeitpunkt einer Scorewertabfrage in einem Bestellprozess zu finden: Wird die Abfrage eines Scorewerts zur Zahlungsausfallwahrscheinlichkeit erst ausgelöst, nachdem sich Lieschen Müller für einen Rechnungskauf entschieden hat, haben auch das Datenschutzrecht und wir keinen Einwand.