Aktuelles, Branche - geschrieben von dp am Mittwoch, März 10, 2021 20:14 - noch keine Kommentare
Zahnloser Tiger: DSGVO bei der SCHUFA
Laut PSW GROUP Consulting greift DSGVO bei der SCHUFA offensichtlich nicht weit genug
[datensicherheit.de, 10.03.2021] Während vielfach aktuell darauf gepocht werde, die DSGVO abzuschwächen, zeige das Beispiel SCHUFA deutlich, „dass sie nicht weit genug greift“. Aufgrund der bereits bestehenden Ausnahmen wird die DSGVO laut der PSW GROUP Consulting dort nämlich zum „zahnlosen Tiger“ – zumindest, was die Transparenz der SCHUFA angeht.
Patrycja Schrenk: Die SCHUFA weist jeder Person einen Score zu, der sich nur bedingt als praxistauglich erweist…
DSGVO räumt auch SCHUFA sogenanntes berechtigtes Interesse ein
Die SCHUFA weise jeder Person einen „Score“ zu, „in den sehr viele Daten einfließen und der sich nach Ansicht der IT-Sicherheitsexperten der PSW GROUP Consulting nur bedingt als praxistauglich erweist“.
Geschäftsführerin Patrycja Schrenk kommentiert: „Dieser ,Score‘ beeinflusst das Leben vieler Menschen massiv. Wer eine Wohnung mieten möchte, einen Kredit oder auch nur ein neues Smartphone braucht, ist auf eine gute SCHUFA-Bewertung angewiesen. Solche Entscheidungen werden aber über Algorithmen getroffen. Durch das ,berechtigte Interesse‘ und die Einwilligung kraft Vertrag können Verbraucher dem jedoch nicht beikommen und müssen damit leben, dass Entscheidungen über sie durch einen ,Score‘-Wert getroffen werden.“
Score-Berechnung wohlgehütetes Geschäftsgeheimnis der SCHUFA
Wie dieser „Score“ konkret berechnet wird, sei indes ein wohlgehütetes Geschäftsgeheimnis der SCHUFA Holding AG. Allerdings: „Je höher der SCHUFA-Score ausfällt, umso weißer ist die finanzielle Weste einer Person. Werte unter 50 Prozent entsprechen einem ,kritischen Risiko‘, bei dem die Ausfallwahrscheinlichkeit als ,hoch‘ angesehen wird.“
Um diesen „Score“ zu errechnen, verarbeite die SCHUFA zum einen Personendaten, zu denen Name, Vorname, Geburtsdatum, -ort, die aktuelle sowie frühere Anschriften gehörten. Darüber hinaus würden Informationen gespeichert, die bei Aufnahme sowie vertragsgemäßer Durchführung von Geschäften anfielen.
Für Dritte nicht nachvollziehbar wird der SCHUFA-Score-Wert kalkuliert
Dies seien also Daten zu Girokonten, Kreditkarten, Ratenkredite, Telekommunikationskundenkonten, P-Konten sowie Basiskonten. Auch Informationen über Forderungen sowie deren Erledigung, Informationen über etwaig missbräuchliches oder betrügerisches Verhalten, beispielsweise Bonitäts- oder Identitätstäuschungen sowie Informationen aus öffentlichen Verzeichnissen sowie amtlichen Bekanntmachungen würden gespeichert.
„Alle diese Daten werden zur automatisierten Auswertung herangezogen, woraus dann – für Dritte nicht nachvollziehbar, da hier das Geschäftsgeheimnis greift – der ,SCHUFA-Score‘-Wert kalkuliert wird. Das bedeutet, dass Verbraucher einem automatisierten Entscheidungsprozess unterworfen sind und es selbst bei guter Bonität passieren kann, dass eine Kreditvergabe negativ entschieden wird, weil der ,Score‘ nicht passt“, moniert Schrenk und verdeutlicht noch einmal: „Es entsteht also die Gefahr, dass automatisiert unangemessen entschieden, falsch bewertet und dadurch der Betroffene benachteiligt oder diskriminiert wird. Einzelfallprüfungen durch echte Menschen wären hier verlässlicher.“
SCHUFA selbst trifft mit ihren Algorithmen keine Entscheidungen über Menschen
Nun solle das Risiko solcher Fehl-Bewertung durch die DSGVO aufgefangen werden. Gemäß Artikel 22 beispielsweise sollten Algorithmen keine wichtigen Entscheidungen für Betroffene treffen. Zudem verlange Artikel 15, Betroffenen „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen“ von Algorithmen bereitzustellen.
Schrenk erläutert: „Nur, wenn die Funktionsweise von Algorithmen offengelegt wird, kann durch unabhängige Kontrollen gewährleistet werden, dass undurchsichtige Entscheidungen durch Algorithmen über Betroffene nicht gefällt werden. Und trotzdem greift ausgerechnet dieser Passus bei der SCHUFA nicht. Denn die SCHUFA selbst trifft mit ihren Algorithmen keine Entscheidungen über Menschen. Vielmehr entscheiden jene Unternehmen, die sich nach dem ,Score‘-Wert der SCHUFA richten und diesen als Grundlage für eigene Entscheidungen heranziehen.“
Löschen von SCHUFA-Daten gar nicht so einfach
Auch das Löschen von SCHUFA-Daten sei gar nicht so einfach: Zwar verlange die DSGVO zur Datenspeicherung ein „berechtigtes Interesse“ oder die Einwilligung Betroffener. Doch vielen Menschen sei nicht bewusst, dass sie in eben diese Datenspeicherung bereits eingewilligt hätten: „Zum Beispiel, indem sie einen Vertrag mit einem Unternehmen abgeschlossen haben, welches eine Bonitätsauskunft von der SCHUFA einholt. Das genügt zur Einwilligung.“
Gemäß Artikel 17 der DSGVO lasse sich diese Einwilligung zwar widerrufen, allerdings gäben Verbraucher ihre Einwilligung spätestens dann erneut, wenn sie den nächsten Vertrag bei einem SCHUFA-Vertragspartner unterzeichnen.
Keine SCHUFA-Einträge nicht unbedingt besser als negative Einträge
Schrenk warnt: „Keine Einträge in der SCHUFA sind aber nicht unbedingt besser als Negativ-Einträge. Denn ohne Informationen zur Bonität des künftigen Schuldners müssen Unternehmen ein Geschäft gar nicht erst abschließen. Hinzu kommt die Tatsache, dass bei Personen, die der SCHUFA nicht bekannt sind, Geodaten anfallen können. Dann haben jene Personen mehr Glück bei einer Kreditanfrage, die in gehobeneren Gegenden leben.“
Nun bestünde die Möglichkeit, sich darauf zu beziehen, „dass Daten laut DSGVO gelöscht werden dürfen, wenn der Zweck der Datenspeicherung nicht mehr existiert“. In der Praxis sei dieses Recht bei der SCHUFA jedoch schwer durchsetzbar, denn der Betroffene müsse nachweisen, dass der Zweck nicht mehr vorhanden ist. „Die SCHUFA findet meist Gründe, warum die Daten dennoch gespeichert bleiben müssen. Und diese Gründe hatten bislang vor Gericht oft Bestand“, so Schrenk.
Weitere Informationen zum Thema:
PSW GROUP CONSULTING – Blog, 26.01.2021
SCHUFA? Schuft! – Warum die Auskunftei Ihre Daten speichert
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren