Stellungnahme vom 11. Mai 2023: Vorschläge für Handlungsempfehlungen an die Bundesregierung zur Verbesserung des Datenschutzes bei Scoringverfahren

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) empfiehlt der Bundesregierung nachfolgende Maßnahmen zur Unterstützung des von der Regierungskoalition verabredeten Ziels für mehr Transparenz und allgemein für eine Verbesserung des Verbraucher- und Datenschutzes beim Kreditscoring, im Folgenden verstanden als Bonitätsscoring. Unter Bonitätsscoring ist das Scoring nicht nur durch die Kreditwirtschaft zu verstehen, sondern auch durch Verantwortliche weiterer Branchen, die kreditorische Risiken durch Verwendung von Score-Werten absichern. Auch wenn sich viele Verbesserungen über von der Bundesregierung beabsichtigte Handlungsempfehlungen und eine entsprechende Selbstverpflichtung der Wirtschaft erreichen lassen, legen einige der hier niedergelegten Empfehlungen nahe, dass auch Verbesserungen durch Ergänzung der Gesetzgebung zum Verbraucher- und Datenschutz auf nationaler wie auf europäischer Ebene mehr Rechtssicherheit schaffen. Die folgenden Empfehlungen sollten daher auch bei entsprechenden Gesetzgebungsverfahren von der Bundesregierung berücksichtigt werden.

I. Empfehlungen für mehr Transparenz für betroffene Personen über Scoring

Betroffenen Personen fehlen oft verständliche Informationen über Details der Scoringverfahren und die Bedeutung und Gewichtung einzelner Merkmale. Das Scoring ist daher für die Betroffenen intransparent und das Verfahren ist für sie auch nicht nachvollziehbar oder gar überprüfbar. Sie können daher das Ergebnis auch nicht substantiell entkräften. Um hier Verbesserungen zu erzielen, sollten nachfolgende Maßnahmen in Betracht gezogen werden.

1. Unterrichtungspflichten des für eine Entscheidung Verantwortlichen bei Verwendung von Score-Werten ausweiten

Werden für Entscheidungen über das Zustandekommen, die Ausgestaltung oder die Beendigung von Vertrags- bzw. Rechtsverhältnissen Score-Werte verwandt, sind die betroffenen Personen von dem für die Entscheidung Verantwortlichen unverzüglich darüber zu unterrichten. Betroffene Personen sollten über bereits bestehende Informationspflichten hinaus immer proaktiv Kenntnis über den Einsatz von Scoringverfahren zu ihrer Person erhalten, wenn die abschlägige Entscheidung nicht unmittelbar auf einem Score-Wert beruht, und auch dann, wenn er außerhalb einer automatisierten Entscheidung nach Art. 22 DSGVO eingesetzt wird.

Es besteht hier Verbesserungspotential in der Ausweitung der Unterrichtungspflichten aus § 30 Abs. 2 BDSG. Die proaktiven Unterrichtungspflichten aus § 30 Abs. 2 BDSG bestehen bislang nur bei abgelehnten Verbraucherdarlehensverträgen und entgeltlichen Finanzierungshilfen, und auch nur dann, wenn die Ablehnung infolge eines erhaltenen Score-Wertes ergeht.

Beeinflusst der Score-Wert die Entscheidung zum Nachteil der betroffenen Personen, sollte es eine Verpflichtung geben, auch den Verantwortlichen für die Score-Berechnung und den berücksichtigten Score-Wert mitzuteilen. Vielfach erfolgt die Erstellung des Scores nicht von der Stelle, die die Scoreberechnung ihrer Entscheidung zu Grunde legt. Details zum Scoringverfahren können betroffene Personen daher nur bei der Stelle in Erfahrung bringen, die die Scoreberechnung vorgenommen hat.

2. Umfang und Detailtiefe sowie Verständlichkeit von Informationen und Auskunftsrechten verbessern

Wer geschäftsmäßig Score-Werte für eigene oder fremde Zwecke berechnet oder die Scorewertberechnung anderer Stellen, wie zum Beispiel von Auskunfteien, in die Verarbeitung von Daten natürlicher Personen einbezieht, sollte betroffenen Personen die Verfahren der Scoreberechnung, die Bedeutung der Scores und ihre Beeinflussung durch einzelne Merkmale in leicht nachvollziehbarer Weise – z. B. durch beispielhafte Darstellungen und Visualisierungen (Erklärvideos) – verständlich machen. Erklärungen, die ein so hohes Abstraktionsniveau haben, dass sie nur für Experten nachvollziehbar sind, verfehlen ihr Ziel, die Verbraucherinnen und Verbraucher zu informieren.

Verbesserungspotential besteht hier außerdem hinsichtlich Umfang und Detailtiefe der zu erteilenden Informationen und Auskünfte. In der Aufsichtspraxis verlangen die deutschen Datenschutzaufsichtsbehörden unabhängig vom Vorliegen einer ausschließlich automatisierten Entscheidungsfindung detaillierte Informationen und Auskünfte an betroffene Personen sowohl von den Stellen, die Score-Werte ermitteln, als auch von den Stellen, die diese verwenden.¹

Die deutschen Datenschutzaufsichtsbehörden fordern von den für die Score-Berechnung Verantwortlichen, dass sie den Betroffenen insbesondere Informationen und auf Antrag Auskünfte erteilen über

• die für die Berechnung genutzten Daten der Betroffenen,
• die verarbeiteten Score-Werte und ihre etwaigen Empfängerinnen und Empfänger (sowie mitübermittelte Zusatzinformationen, etwa zur Einordnung des Wertes),
• die Score-Merkmale (etwa „laufende Kreditverträge“, „bonitätsrelevante Forderungsdaten i.S.d. § 31 Abs. 2 BDSG“, „Zahl der Kreditkarten“, „Alter“ etc.),
• die Gewichtung einzelner Kategorien von Merkmalen („Gewichtung der für die Entscheidungsfindung berücksichtigten Merkmale auf aggregierter Ebene“)² oder sogar der Einzelmerkmale, etwa durch Auflistung nach Relevanz (das den Score-Wert am stärksten prägende Merkmal zuerst usw. – oder alternativ die vier Merkmale, die den konkreten Score-Wert am stärksten negativ beeinflussen).

Handlungsempfehlungen der Bundesregierung sollten diese Aufsichtspraxis aufgreifen.

Infolge eines nicht eindeutigen Gesetzeswortlauts besteht Rechtsunklarheit hinsichtlich der Detailtiefe der zu erteilenden Informationen bei der Ermittlung und Verwendung von Score-Werten insbesondere über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen in den Fällen, in denen der Verantwortliche keine ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung gegenüber der betroffenen Person getroffen hat (Art. 13 Abs. 2 Buchstabe h, Art. 14 Abs. 2 Buchstabe g und Art. 15 Abs. 1 Buchstabe h DSGVO).

3. Aussagekraft des konkreten Score-Werts und Prognosegenauigkeit transparenter machen

Im Sinne der Transparenz sollte zukünftig gewährleistet werden, dass betroffene Personen in Ergänzung zu den unter Ziffer I.2 genannten Aspekten Informationen erhalten zur

• Aussagekraft des konkreten Score-Werts durch Einordnung des Score-Wertes in ein Risikoschema in Bezug auf die betroffene Person und
• Prognosegenauigkeit eines Score-Wertes, insbesondere, wenn nur wenige scorerelevante Informationen vorliegen.

Der Wesensgehalt des Schutzes personenbezogener Daten verlangt, dass betroffene Personen Auskünfte zur Aussagekraft des auf ihre Person ermittelten Score-Wertes im Verhältnis zum Gesamtscore sowie Informationen zur Score-Güte und damit Prognosegenauigkeit eines Score-Wertes erhalten. Nur so wird Transparenz bei nicht hinreichender Datenbasis geschaffen, also wenn bei der den Score berechnenden Stelle zu einer betroffenen Person keine oder nur wenige Informationen vorliegen. Dies betrifft insbesondere die Merkmale „Anschriftenwechsel“ und das Geoscoring, also die Wohnumfeldbewertung.

Auch sollten Scoreverfahren künftig zertifiziert und die Zertifizierung des Scoreverfahrens den betroffenen Personen mitgeteilt werden. Diese Forderung setzt voraus, dass anders als bisher die Wissenschaftlichkeit der abstrakten Score-Berechnung und dessen Prognosegenauigkeit von unabhängigen Stellen geprüft werden (s.u. Ziffer II.3).

4. Durch Speicherung übermittelter Score-Werte Auskünfte an die Betroffenen ermöglichen

Zusätzlich sollten Stellen, die gewerbsmäßig Score-Werte für eigene oder fremde Zwecke berechnen, wie insbesondere Auskunfteien und die Kreditwirtschaft, zur mindestens einjährigen Speicherung übermittelter Score-Werte verpflichtet werden, weil Auskunftspflichten nur für gespeicherte Daten bestehen. Würden übermittelte Score-Werte daher – wie bislang – nach der Übermittlung unverzüglich gelöscht oder lediglich für die Übermittlung berechnet, bestünden keine Auskunftspflichten. Diese Auskunftslücke könnte durch eine einjährige Speicherpflicht behoben werden.

5. Durch Daten-Cockpits und Score-Simulatoren den Einfluss der verwendeten Merkmale auf die Berechnung nachvollziehbar machen

Sowohl zur Erfüllung von Informationspflichten als auch zur Erteilung von Auskünften schaffen Daten-Cockpits eine geeignete technische Lösung. Daten-Cockpits bieten betroffenen Personen die Möglichkeit, ihre Daten einzusehen und Betroffenenrechte geltend zu machen (Beschwerdemechanismus). Von den für die Scoreberechnung verantwortlichen Stellen zur Verfügung gestellte Score-Simulatoren sind ein weiteres Instrument, betroffenen Personen erste Informationen an die Hand zu geben, welche Score-Merkmale welche Wirkung in der Scoreberechung entfalten.

II. Weitergehende Empfehlungen zur datenschutz- und verbrauchergerechten Ausgestaltung des Scorings

1. Verzicht auf oder Verbot der Verwendung einzelner Kriterien im Scoring

Anschriftenwechsel, Geoscoring, Bewertung von Namen und vergleichbare Informationen haben eine deutlich geringere Signifikanz für eine Scoreberechnung als unmittelbare Informationen zur Zahlungsfähigkeit bzw. wirtschaftlichen Leistungsfähigkeit der betroffenen Person. Hierzu zählen zum Beispiel Merkmale aus dem Zahlungsverhalten, den Kreditaktivitäten, sonstige existierende finanzielle Verpflichtungen im Monat, Monats-Netto-Einkommen, Ausgaben inklusive einer Haushaltsrechnung.

Informationen von geringer Signifikanz, die typischer Weise in vielen Scoringverfahren eingesetzt werden, sind kritisch, weil die damit verbundene lediglich statistische Annahme von der real bewerteten Person diametral abweichen kann. Wer einen Vornamen trägt, der in weniger gut situierten Kreisen häufiger verbreitet ist, kann dennoch in der Realität eine reiche Person sein. Der häufige Wechsel von Anschriften kann durch eine wirtschaftlich kritische Situation verursacht sein. Genauso kann es sich um eine Person in einer gut bezahlten Tätigkeit handeln, die beruflich bedingt häufiger den Wohnort wechseln muss.

Natürlich können diejenigen, die Score-Werte erstellen, auf einzelne Merkmale freiwillig verzichten. Sinnvoll wäre allerdings, wenn die Bundesregierung zum Schutz der Verbraucherinnen und Verbraucher auf die Schaffung einer gesetzlichen Negativliste hinwirken würde. In dieser Negativliste sind die weiteren, über die in Art. 9 DSGVO genannten Kategorien hinausgehenden Daten festzulegen, die nicht in einen Score einfließen dürfen, wie insbesondere

• der Name,
• das Geschlecht und
• personenbezogene Daten von Plattformen der sozialen Medien oder allgemein aus dem Internet.

Diese Daten enthalten ein besonders hohes Diskriminierungspotential und sollten daher nicht im Kreditscoring verwendet werden. Daten aus den sozialen Medien oder dem Internet sind hinsichtlich ihrer Richtigkeit oft fraglich und kaum überprüfbar.

2. Score-Güte – Verfahren zur Sicherstellung richtiger und aktueller Daten für das Scoring

Im Rahmen technisch-organisatorischer Maßnahmen ist zu gewährleisten, dass die Daten korrekt erhoben werden und die Richtigkeit und Aktualität der Daten gewährleistet ist.

Hierzu sollen Prozesse etabliert werden, die sowohl eine angemessene Erstprüfung als auch ein regelmäßiges Monitoring des Datenbestandes sicherstellen. Bei der Erstprüfung ist eine Bewertung der Zuverlässigkeit der Quellen vorzunehmen. Zudem sollten betroffenen Personen Instrumente – insbesondere unkomplizierte Beschwerdeverfahren – an die Hand gegeben werden, um unrichtige und nicht mehr aktuelle Daten zu berichtigen.

Sind bereits die „Ausgangsdaten“ im Datenbestand fehlerhaft, schlägt dies auch auf die daraus gebildeten statistischen Vergleichsgruppen ebenso wie auf die zu bewertende Person durch. Auch ist mit wenig signifikanten Score-Werten Kreditgebern nicht geholfen, denn sie verlieren entweder eine Geschäftsmöglichkeit, wenn Kunden, die liquide sind, fälschlich als zahlungsunfähig klassifiziert wurden, oder setzen sich andererseits einem „Ausfallrisiko“ aus, wenn eine nicht kreditwürdige Person aufgrund fehlerhafter Scorebewertung als kreditwürdig bewertet wurde.

Mit Blick auf technische Entwicklungen, – z.B. im Bereich der künstlichen Intelligenz – ist zu gewährleisten, dass keine verzerrten Daten oder Missstände in der Neutralität oder Ausgewogenheit der Datenbasis (sog. Bias) bzw. deren Verarbeitung vorliegen, die das Risiko der Diskriminierung von bestimmten Personengruppen oder Minderheiten begründen. Nach Anhang III 5 b des Vorschlags für eine Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz) mit Anhängen – COM(2021)206 final vom 21.4.2021, 2021/0106 (COD)) werden KI-Systeme für Kreditwürdigkeitsprüfungen und Kreditpunktebewertung natürlicher Personen als Hochrisiko-KI-Systeme eingestuft mit der Folge, dass die besonderen Regelungen der Art. 8 ff. des Verordnungsvorschlags Anwendung finden. Die Bundesregierung wird gebeten, sich dafür einzusetzen, dass es bei dieser Einstufung bleibt.

3. Kontrollierbarkeit der Wissenschaftlichkeit und des Aussagewertes einer Scoreberechnung durch unabhängige Zertifizierung

Scoring-Verfahren sollten regelmäßig – ggf. sogar gesetzlich verpflichtend – einer unabhängigen, wissenschaftlichen Prüfung durch eine neutrale Stelle unterzogen werden, die dann ein Testat erteilt. Durch das Testat kann überprüft werden, ob anerkannte mathematisch-statistische Verfahren verwendet werden. Die neutrale Stelle hat dann nicht nur die Bonitätsrelevanz der Daten, sondern auch die Prognosegenauigkeit der Score-Berechnung zu überprüfen.

Diese Zertifizierung des Verfahrens zur Scoreberechnung ermöglicht eine Qualitätskontrolle vor dessen Einsatz. Das für eine solche mathematisch-statistische Bewertung erforderliche Know-How ist in den meisten Datenschutzaufsichtsbehörden nicht vorhanden. Die hier vorgeschlagene Zertifizierung, die die mathematisch-statistische Aussagekraft der Verfahren betrachtet, ist nicht Gegenstand von Verfahren der Zertifizierungsstellen gemäß Art. 43 DSGVO.

Eine verpflichtende Zertifizierung greift zwar in die Berufsausübungsfreiheit ein, ist aber im Sinne des Allgemeinwohls angemessen. Die Zertifizierung ist erforderlich, weil im Rahmen des Scorings zumeist eine Fülle von Daten genutzt werden, der Eingriff in die informationelle Selbstbestimmung daher intensiv ist und die Auswirkungen eines Score-Wertes, der der Entscheidung über die Kreditvergabe an Privatpersonen und Unternehmen zugrunde liegt, in vielen Fällen existentiell sein können.

Die dargelegten Maßnahmen können der Wirtschaft über Handlungsempfehlungen nahegelegt werden. Dabei kann eine höhere Verbindlichkeit durch Verhaltensregeln – sog. Codes of Conduct – auf Grundlage von Art. 40 f. DSGVO erzielt werden, indem sich einzelne Branchen die Handlungsempfehlungen zu eigen machen und in einem Code of Conduct festschreiben, dem sich die Unternehmen unterwerfen können.

Darüber hinaus wären insbesondere zu den vorstehend empfohlenen Maßnahmen zur Erweiterung der Unterrichtungspflichten über die Verwendung von Score-Werten (I.1), zur Detaillierung der Auskunftspflichten (I.2), zur Speicherverpflichtung von Score-Werten (I.4), zum Verbot von diskriminierenden Scorefaktoren (II.1) und für verpflichtende Zertifizierungsverfahren (II.3) verbindliche gesetzliche Regelungen im Verbraucher- oder Datenschutz sinnvoll. Für diese Maßnahmenempfehlungen sollte aus Sicht der DSK eine allgemeine Verbindlichkeit durch gesetzliche Regelungen angestrebt werden, da eine Selbstverpflichtung der Wirtschaft immer nur so weit wirkt, wie die die relevanten Unternehmen zur Selbstverpflichtung bereit sind. Ein Schutz aller Verbraucherinnen und Verbraucher kann nur durch gesetzliche Maßnahmen erreicht werden. Die DSK bittet die Bundesregierung daher im Rahmen ihrer Möglichkeiten und auch in Ansehung der eng begrenzten Spielräume zur nationalen Gesetzgebung im Verbraucher- und Datenschutz Regelungen zu prüfen und sich bei entsprechenden Gesetzgebungsverfahren auf europäischer Ebene für eine verbesserte Regelung einzusetzen.

Weitere Einzelheiten ergeben sich aus den nachfolgenden Hintergrundinformationen.

Hintergrundinformationen

Geltender Rechtsrahmen

Scoring ist die Ermittlung eines Wahrscheinlichkeitswertes über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zwecke der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person. Im Falle des Kreditscorings geht es um die Prognose hinsichtlich des zukünftigen Zahlungsverhaltens, insbesondere ob im Falle einer Kreditgewährung eine entsprechende Rückzahlung erfolgt.

Die Ermittlung dieses Wahrscheinlichkeitswertes erfolgt auf der Grundlage eines mathematisch-statistischen Verfahrens. Dabei werden die zu bewertenden Personen statistisch gebildeten Risikoklassen zugeordnet, indem ihre Daten mit den Daten statistischer Vergleichsgruppen anderer Personen verglichen und dann einer Risikoklasse mit ähnlichen oder gleichen Merkmalen zugeordnet werden. So wird das statistische Ausfallrisiko der gefundenen Vergleichsgruppe der konkreten Person zugeordnet. Die Qualität des Scores hängt maßgeblich von der einfließenden Datenbasis ab. Diese sollte daher aussagekräftig, sachlich richtig und aktuell sein. Die Algorithmen zur Berechnung der Scores sind den betroffenen Personen in der Regel unbekannt. Jede Wirtschaftsauskunftei verfügt über unterschiedliche Berechnungsmethoden.

Bereits im geltenden Datenschutzrecht gibt es Regelungen, die das Scoring reglementieren:

Die Zulässigkeit der Verarbeitung von Daten im Wege des Scorings richtet sich nach Art. 6 Abs. 1 Satz 1 Buchstabe f DSGVO. Zudem ist im Kontext des Scorings auch Art. 22 DSGVO zu beachten.

Art. 22 Abs. 1 DSGVO untersagt ausschließlich automatisierte Entscheidungen einschließlich Profiling. Profiling ist nach der Definition (Art. 4 Nr. 4 DSGVO) die automatisierte Verarbeitung personenbezogener Daten zur Analyse und Vorhersage bestimmter personenbezogener Aspekte. Das Scoring ist ein Teil des Profilings (vgl. die Zusammenschau aus Art. 4 Nr. 4 DSGVO, ErwGr 71 UAbs. 1 S. 1 und 2). Entscheidungen, die an einen zuvor ermittelten Score-Wert anknüpfen, unterfallen zumindest dann Art. 22 DSGVO, wenn sie ohne zwischengeschaltetes menschliches Eingreifen zustande kommen³.

Auch zum Scoring legt die DS-GVO eine gesteigerte Transparenz fest. Bereits in den allgemeinen Datenschutzhinweisen ist über das Bestehen einer automatisierten Entscheidungsfindung (inkl. Profiling) aussagekräftig zu informieren (Art. 13, 14 DSGVO). Diese Information hat die „involvierte Logik“ sowie die Tragweite und die Auswirkungen einer derartigen Datenverarbeitung zu einer Person zu erfassen. Gleiches gilt sodann für die den einzelnen Fall betreffende Auskunftspflicht nach Art. 15 Abs. 1 Buchstabe h DSGVO.⁴

Auch das BDSG macht in § 31 BDSG Vorgaben zum Scoring, deren Vereinbarkeit mit dem Unionsrecht allerdings Gegenstand eines Vorlageverfahrens vor dem EuGH ist⁵. § 31 Abs. 1 BDSG erklärt in Deutschland das Scoring nur dann als zulässig, wenn folgende Voraussetzungen kumulativ erfüllt sind:

• Einhaltung der Vorschriften des Datenschutzrechts,
• Nutzung von Daten für die Berechnung, die unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweislich für die Berechnung der Wahrscheinlichkeit eines bestimmten Verhaltens erheblich sind,
• keine ausschließliche Nutzung von Anschriftendaten und
• Unterrichtung der betroffenen Person im Fall der Nutzung von Anschriftendaten einschließlich ihrer Dokumentation.

Bei der Ermittlung eines bonitätsbezogenen Scorewerts dürfen Wirtschaftsauskunfteien nur solche nicht erfüllten Forderungen einbeziehen, die die Anforderungen des § 31 Abs. 2 Satz 1 BDSG erfüllen. § 31 Abs. 2 S. 2 BDSG erlaubt zusätzlich – gestützt auf Art. 6 Abs. 1 DSGVO – die Einbeziehung weiterer bonitätsrelevanter Daten in die Scoreberechnung. Nur solche Score-Werte, die diese Anforderungen erfüllen, dürfen dann von Wirtschaftsunternehmen für ihre Geschäftsbeziehungen genutzt werden.

Zusätzlich ist in § 30 Abs. 2 BDSG eine Auskunftspflicht bei abgelehnten Verbraucherdarlehensverträgen und entgeltlichen Finanzierungshilfen zu erhaltenen Score-Werten enthalten, sofern die Ablehnung ihren Grund in dem enthaltenen Score-Wert hat.

Scoring in der Kreditwirtschaft findet aufgrund der im Bankenverhältnis regelmäßig vorhandenen Finanzdaten (z.B. Kontodaten, Kredithistorien) auf einer im Vergleich zum Scoring bei Zahlungsdienstleistern und im Online-Handel umfassenderen Datengrundlage statt. Bei Neukundinnen und Neukunden werden die im Kreditantrag angegebenen Daten sowie weitere Daten berücksichtigt, die durch eine Selbstauskunft erlangt werden. Letztlich kann es für die grundsätzliche Transparenzforderung dahinstehen, ob der Score durch eine Bank, einen Dienstleister oder einen Online-Händler erstellt wird. Alle haben dafür zu sorgen, dass die betroffenen Personen diese Scoreberechnung nachvollziehen können.

Die Berechnung von Score-Werten basiert auf der Erhebung personenbezogener und marktbezogener Daten, die von den jeweiligen Unternehmen erhoben und ausgewertet werden. Nach einer sich auf das bis zur Anwendung der DSGVO geltende alte BDSG beziehenden Entscheidung des BGH (Urt. v. 28.01.2014, Az. VI ZR 156/13) ist die sogenannte Scoreformel, also die abstrakte Methode der Scorewertberechnung, aus Gründen des Geschäftsgeheimnisschutzes den von der Datenverarbeitung Betroffenen nicht mitzuteilen.⁶

Aktuelle Initiativen auf EU-Ebene

Auf der europäischen Ebene gibt es derzeit zwei Rechtsetzungsinitiativen, die Bezug zum Scoring haben:

Dies ist zunächst die EU-Verbraucherkreditrichtlinie (KOM(2021) 347 vom 30.6.2021; 2021/0171 COD – VKR- Entwurf). Nach dem Entwurf soll

• der Umfang der Datenerhebung bei der Kreditwürdigkeitsprüfung eingeschränkt (EG 47 i. V. m. Art. 18 VKR-Entwurf) und
• der Einsatz des Profilings unter besondere Vorgaben gestellt (Art. 18 6 VKR-Entwurf) und
• die Nutzung von Datenbanken, die mindestens Daten über Zahlungsrückstände zu speichern haben, für die Bonitätsprüfung vorgesehen (Art. 18 Abs. 2 i. V. m. Art. 19 Abs. 3 VKR-Entwurf) werden.

Zudem wird derzeit der Vorschlag für eine Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz) mit Anhänge – COM(2021)206 final vom 21.4.2021, 2021/0106 (COD) beraten.

Nach Anhang III 5 b des Verordnungsvorschlags werden KI-Systeme für Kreditwürdigkeitsprüfungen und Kreditpunktebewertung natürlicher Personen als Hochrisiko-KI-Systeme eingestuft mit der Folge, dass die besonderen Regelungen der Art. 8 ff. des Verordnungsvorschlags Anwendung finden. Dazu zählt die Pflicht zu einem Risikomanagementsystem, zu technischer Dokumentation, zur Protokollierung, zu Transparenz und Nachvollziehbarkeit sowie zur Einrichtung einer Mensch-Maschine-Schnittstelle u.a.m.

Darüber hinaus wird sich voraussichtlich bis Jahresende auf Grund des Vorlageverfahrens des VG Wiesbaden (6 K 788/20.WI) vom 1.10.2021 der EuGH (Rechtssache C-634/21) mit Fragen zum Scoring unter Geltung der DSGVO befassen.

Befassungen mit dem Thema in Deutschland

In Deutschland hat im Jahr 2018 der Sachverständigenrat für Verbraucherfragen (SVRV) beim Bundesministerium der Justiz und für Verbraucherschutz ein Gutachten mit dem Titel „Verbrauchergerechtes Scoring“ herausgegeben. Der SVRV hat Handlungsempfehlungen formuliert, die wie folgt lauten:

• Scoring für den Verbraucher verständlich machen;
• Scoring-Wissen und Kompetenzen fördern;
• Diskriminierung prüfen und offenlegen
• Telematikfreie Option sicherstellen (Bereich der Versicherungen);
• Score-Qualität gewährleisten;
• Datenqualität sichern;
• Aufsicht verbessern;
• Super-Scores (wie in China) verhindern.

Das Bundeskartellamt (BKartA) – Beschlussabteilung V – hat Ende März 2022 eine verbraucherrechtliche Sektionsuntersuchung zum „Scoring“ beim Online-Shopping initiiert. Gegenstand der Untersuchung ist das Verfahren zur Prüfung der Bonität von Kundinnen und Kunden durch Online-Händler und die für die Scorebildung zugrunde gelegten Kriterien. Adressaten dieser Prüfung sind Online-Händler und Wirtschaftsauskunfteien. Das BKartA hat den BfDI über die Sektoruntersuchung in Kenntnis gesetzt. LDI NRW als Vorsitz des AK Kreditwirtschaft hat Kontakt zum BKartA aufgenommen. Mit einer Auswertung ist erst gegen Ende des Jahres 2023 zu rechnen.

¹ Der Schutz des Geschäftsgeheimnisses oder des geistigen Eigentums stellt für eine Auskunftei aber grundsätzlich einen berechtigten Grund dar, gegenüber der betroffenen Person die Offenlegung des zur Berechnung ihres Score-Wertes verwendeten Score-Formel zu verweigern, vgl. auch Rn. 56 der Schlussanträge des Generalanwalts vom 16.03.2022 (Rechtssache C-634/21) im Vorlageverfahren des VG Wiesbaden (6 KK 788/20.W) vom 01.10.2021.

² Vgl. Rn. 58 der Schlussanträge des Generalanwalts vom 16.03.2022 (Rechtssache C-634/21) im Vorlageverfahren des VG Wiesbaden (6 KK 788/20.W) vom 01.10.2021.

³ Gemäß Rz. 95 Ziffer 1 der Schlussanträge des Generalanwalts vom 16.03.2022 (Rechtssache C-634/21) im Vorlageverfahren des VG Wiesbaden (6 KK 788/20.W) vom 01.10.2021 stellt bereits die automatisierte Erstellung eines Wahrscheinlichkeitswertes über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung dar, die der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise beeinträchtigt, wenn dieser mittels personenbezogener Daten der betroffenen Person ermittelte Wert von dem Verantwortlichen an einen dritten Verantwortlichen übermittelt wird und jener Dritte nach ständiger Praxis diesen Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde legt.

⁴ Einzelheiten zum Umfangs des Auskunftsrechts nach Art. 15 Abs. 1 Buchstabe h DSGVO finden sich in Rz. 53 bis 58 der in vorstehender Fn. 1 genannten Schlussanträge des Generalanwalts.

⁵ Vgl. Schlussanträge des Generalanwalts vom 16.03.2022 (Rechtssache C-634/21) im Vorlageverfahren des VG Wiesbaden (6 KK 788/20.W) vom 01.10.2021.

⁶ Vgl. auch Rn. 54 ff. der Schlussanträge des Generalanwalts vom 16.03.2023 in der Rechtssache C-634/21 sowie das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG).