[datensicherheit.de, 07.12.2023] Die Verbraucherzentrale NRW hat gleich am 7. Dezember 2023 Stellung zum aktuellen Urteil des Europäischen Gerichtshofes (EuGH) zum Schufa-Scoring genommen – demnach stärkt dieses die Verbraucherrechte.

Schufa muss darlegen, wie die Werte des Bonitätsscorings zustandekommen

Die SCHUFA Holding AG (Schufa) müsse Verbraucher von nun an Auskunft darüber geben, „wie die Werte des Bonitätsscorings (Schufa-Score) zustandekommen“. Der EuGH hat am 7. Dezember 2023 in einem Verfahren gegen die Auskunftei entschieden, „dass es sich um eine automatisierte Entscheidung handelt, wenn ein Vertragsabschluss maßgeblich vom Schufa-Score abhängt“.

Dies habe zur Folge, dass Verbraucher nun mehr Transparenz von der Schufa verlangen könnten und das Recht hätten, zu erfahren, „wie der Wert ihres Schufa-Scores zustandekommt“.

Schufa hatte bisher nähere Erläuterung der Berechnung abgelehnt

Hintergrund des Verfahrens war laut der Verbraucherzentrale NRW, dass die Schufa eine nähere Erläuterung der Berechnung unter Berufung auf das Geschäftsgeheimnis ablehnte und auf die Anbieter verwies, da diese letztlich entscheiden würden, ob und zu welchen Konditionen ein Vertrag zustande komme. „Wie der Score konkret berechnet wird, war für die Betroffenen bisher kaum nachvollziehbar.“

„Diesem Ping-Pong bei dem Wunsch nach Auskunft setzt der EuGH nun ein Ende und sorgt für mehr Transparenz beim Bonitätsscoring“, betont Wolfgang Schuldzinski, Vorstand Verbraucherzentrale NRW. Verbraucher müssten verständliche Informationen erhalten, wie ihre Score-Werte zustande kommen. Jetzt komme es darauf an, dass das Schutzniveau der Datenschutzgrundverordnung (DSGVO) bei solchen automatisierten Entscheidungen nicht durch nationale Gesetze wieder abgesenkt werde.

Weitere Informationen zum Thema:

datensicherheit.de, 22.10.2023
Nur ein erster Schritt: Löschung von Positivdaten bei der SCHUFA

Verbraucherzentrale NRW fordert von Auskunfteien wie der SCHUFA generellen Stopp der Übermittlung

[datensicherheit.de, 22.10.2023] Laut einer Stellungnahme der Verbraucherzentrale NRW hat die SCHUFA Holding AG am 19. Oktober 2023 bekanntgegeben, dass sie gespeicherte Positivdaten von Mobilfunkkunden löschen werde. Unter sogenannten Positivdaten werden demnach Informationen über abgeschlossene Verträge mit Telekommunikationsanbietern oder anderen Firmen verstanden – die keine Einschätzung der Zahlungswahrscheinlichkeit beinhalteten.

Foto: VZ NRW / Artes

Wolfgang Schuldzinski fordert Telekommunikationsanbieter auf, die Übermittlung von Positivdaten an Auskunfteien generell einzustellen

Übermittlung solcher Daten z.B. an die SCHUFA nicht ohne Weiteres zulässig

Bei den Positivdaten hätten Betroffene sich im Unterschied zu sogenannten Negativdaten also nichts zuschulden kommen lassen. Da eine Übermittlung solcher Daten an Wirtschaftsauskunfteien wie die SCHUFA aus Sicht der Verbraucherzentrale NRW nicht ohne Weiteres zulässig ist, hatte sie gerichtliche Verfahren gegen die Mobilfunkanbieter Telekom, Vodafone und Telefónica eingeleitet.

Diese Beklagten hätten ohne Zustimmung ihrer Kunden Positivdaten an die Auskunftei weitergegeben. Das Landgericht München I (Az 33 O 5976/22) habe den Verbraucherschützern in einem noch nicht rechtskräftigen Urteil bereits Recht gegeben. Nun habe die SCHUFA reagiert und angekündigt, die Positivdaten zu löschen.

SCHUFA beendet unrechtmäßige Datenspeicherung

„Wir freuen uns, dass unser Einsatz für Verbraucherrechte nun konkrete Maßnahmen nach sich zieht, indem die SCHUFA die unrechtmäßige Datenspeicherung beendet und die vorhandenen Daten löscht“, kommentiert Wolfgang Schuldzinski, Vorstand der Verbraucherzentrale NRW.

Diese Maßnahme könne aber nur der erste Schritt sein. „Wir fordern die Telekommunikationsanbieter weiterhin auf, die Übermittlung von Positivdaten an Auskunfteien generell einzustellen“, betont Schuldzinski abschließend.

Laut PSW GROUP Consulting greift DSGVO bei der SCHUFA offensichtlich nicht weit genug

[datensicherheit.de, 10.03.2021] Während vielfach aktuell darauf gepocht werde, die DSGVO abzuschwächen, zeige das Beispiel SCHUFA deutlich, „dass sie nicht weit genug greift“. Aufgrund der bereits bestehenden Ausnahmen wird die DSGVO laut der PSW GROUP Consulting dort nämlich zum „zahnlosen Tiger“ – zumindest, was die Transparenz der SCHUFA angeht.

Foto: PSW GROUP

Patrycja Schrenk: Die SCHUFA weist jeder Person einen Score zu, der sich nur bedingt als praxistauglich erweist…

DSGVO räumt auch SCHUFA sogenanntes berechtigtes Interesse ein

Die SCHUFA weise jeder Person einen „Score“ zu, „in den sehr viele Daten einfließen und der sich nach Ansicht der IT-Sicherheitsexperten der PSW GROUP Consulting nur bedingt als praxistauglich erweist“.
Geschäftsführerin Patrycja Schrenk kommentiert: „Dieser ,Score‘ beeinflusst das Leben vieler Menschen massiv. Wer eine Wohnung mieten möchte, einen Kredit oder auch nur ein neues Smartphone braucht, ist auf eine gute SCHUFA-Bewertung angewiesen. Solche Entscheidungen werden aber über Algorithmen getroffen. Durch das ,berechtigte Interesse‘ und die Einwilligung kraft Vertrag können Verbraucher dem jedoch nicht beikommen und müssen damit leben, dass Entscheidungen über sie durch einen ,Score‘-Wert getroffen werden.“

Score-Berechnung wohlgehütetes Geschäftsgeheimnis der SCHUFA

Wie dieser „Score“ konkret berechnet wird, sei indes ein wohlgehütetes Geschäftsgeheimnis der SCHUFA Holding AG. Allerdings: „Je höher der SCHUFA-Score ausfällt, umso weißer ist die finanzielle Weste einer Person. Werte unter 50 Prozent entsprechen einem ,kritischen Risiko‘, bei dem die Ausfallwahrscheinlichkeit als ,hoch‘ angesehen wird.“
Um diesen „Score“ zu errechnen, verarbeite die SCHUFA zum einen Personendaten, zu denen Name, Vorname, Geburtsdatum, -ort, die aktuelle sowie frühere Anschriften gehörten. Darüber hinaus würden Informationen gespeichert, die bei Aufnahme sowie vertragsgemäßer Durchführung von Geschäften anfielen.

Für Dritte nicht nachvollziehbar wird der SCHUFA-Score-Wert kalkuliert

Dies seien also Daten zu Girokonten, Kreditkarten, Ratenkredite, Telekommunikationskundenkonten, P-Konten sowie Basiskonten. Auch Informationen über Forderungen sowie deren Erledigung, Informationen über etwaig missbräuchliches oder betrügerisches Verhalten, beispielsweise Bonitäts- oder Identitätstäuschungen sowie Informationen aus öffentlichen Verzeichnissen sowie amtlichen Bekanntmachungen würden gespeichert.
„Alle diese Daten werden zur automatisierten Auswertung herangezogen, woraus dann – für Dritte nicht nachvollziehbar, da hier das Geschäftsgeheimnis greift – der ,SCHUFA-Score‘-Wert kalkuliert wird. Das bedeutet, dass Verbraucher einem automatisierten Entscheidungsprozess unterworfen sind und es selbst bei guter Bonität passieren kann, dass eine Kreditvergabe negativ entschieden wird, weil der ,Score‘ nicht passt“, moniert Schrenk und verdeutlicht noch einmal: „Es entsteht also die Gefahr, dass automatisiert unangemessen entschieden, falsch bewertet und dadurch der Betroffene benachteiligt oder diskriminiert wird. Einzelfallprüfungen durch echte Menschen wären hier verlässlicher.“

SCHUFA selbst trifft mit ihren Algorithmen keine Entscheidungen über Menschen

Nun solle das Risiko solcher Fehl-Bewertung durch die DSGVO aufgefangen werden. Gemäß Artikel 22 beispielsweise sollten Algorithmen keine wichtigen Entscheidungen für Betroffene treffen. Zudem verlange Artikel 15, Betroffenen „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen“ von Algorithmen bereitzustellen.
Schrenk erläutert: „Nur, wenn die Funktionsweise von Algorithmen offengelegt wird, kann durch unabhängige Kontrollen gewährleistet werden, dass undurchsichtige Entscheidungen durch Algorithmen über Betroffene nicht gefällt werden. Und trotzdem greift ausgerechnet dieser Passus bei der SCHUFA nicht. Denn die SCHUFA selbst trifft mit ihren Algorithmen keine Entscheidungen über Menschen. Vielmehr entscheiden jene Unternehmen, die sich nach dem ,Score‘-Wert der SCHUFA richten und diesen als Grundlage für eigene Entscheidungen heranziehen.“

Löschen von SCHUFA-Daten gar nicht so einfach

Auch das Löschen von SCHUFA-Daten sei gar nicht so einfach: Zwar verlange die DSGVO zur Datenspeicherung ein „berechtigtes Interesse“ oder die Einwilligung Betroffener. Doch vielen Menschen sei nicht bewusst, dass sie in eben diese Datenspeicherung bereits eingewilligt hätten: „Zum Beispiel, indem sie einen Vertrag mit einem Unternehmen abgeschlossen haben, welches eine Bonitätsauskunft von der SCHUFA einholt. Das genügt zur Einwilligung.“
Gemäß Artikel 17 der DSGVO lasse sich diese Einwilligung zwar widerrufen, allerdings gäben Verbraucher ihre Einwilligung spätestens dann erneut, wenn sie den nächsten Vertrag bei einem SCHUFA-Vertragspartner unterzeichnen.

Keine SCHUFA-Einträge nicht unbedingt besser als negative Einträge

Schrenk warnt: „Keine Einträge in der SCHUFA sind aber nicht unbedingt besser als Negativ-Einträge. Denn ohne Informationen zur Bonität des künftigen Schuldners müssen Unternehmen ein Geschäft gar nicht erst abschließen. Hinzu kommt die Tatsache, dass bei Personen, die der SCHUFA nicht bekannt sind, Geodaten anfallen können. Dann haben jene Personen mehr Glück bei einer Kreditanfrage, die in gehobeneren Gegenden leben.“
Nun bestünde die Möglichkeit, sich darauf zu beziehen, „dass Daten laut DSGVO gelöscht werden dürfen, wenn der Zweck der Datenspeicherung nicht mehr existiert“. In der Praxis sei dieses Recht bei der SCHUFA jedoch schwer durchsetzbar, denn der Betroffene müsse nachweisen, dass der Zweck nicht mehr vorhanden ist. „Die SCHUFA findet meist Gründe, warum die Daten dennoch gespeichert bleiben müssen. Und diese Gründe hatten bislang vor Gericht oft Bestand“, so Schrenk.

Weitere Informationen zum Thema:

PSW GROUP CONSULTING – Blog, 26.01.2021
SCHUFA? Schuft! – Warum die Auskunftei Ihre Daten speichert

Was wir aus der Mega-Datenschutzverletzung (nicht) gelernt haben – Experten-Kommentar von Thomas Ehrlich, Country Manager DACH von Varonis

[datensicherheit.de, 08.09.2018] Vor genau einem Jahr passierte der Datensicherheits-GAU, als beim amerikanischen Credit Bureau Equifax, in etwa vergleichbar mit der SCHUFA, Datensätze von über 143 Millionen US-Amerikanern mit deren Namen, Geburtsdaten, Sozialversicherungsnummern, Adressen und teilweise auch Führerscheindaten, in die Hände von Cyber-Kriminellen gefallen sind.

Nichts wäre mir lieber als zu konstatieren, dass Unternehmen in den letzten zwölf Monaten enorme Fortschritte bei der Datensicherheit gemacht hätten, aber dies ist eher die Ausnahme als die Regel. Der Fall Equifax zeigt deutlich, dass noch nicht allen Unternehmen der Wert ihrer (anvertrauten) Daten bewusst ist und welches Risiko diese Daten bergen.

Foto: Varonis Systems

Thomas Ehrlich, Country Manager DACH von Varonis

Es wäre aber falsch, nur auf die Unternehmen zu zeigen. Auch bei den Verbrauchern hat sich – erschreckenderweise – seitdem kaum etwas verändert. Nach wie vor scheint das Thema Datensicherheit für sie kaum Relevanz zu haben. Sie verlangen offensichtlich immer noch nicht von den Unternehmen einen besseren Schutz ihrer Daten bzw. ziehen kaum Konsequenzen aus Datenvorfällen – genauso wenig wie die meisten Unternehmen ihrerseits proaktive Maßnahmen für mehr Datensicherheit ergreifen.

Stellen wir uns vor, diese Datenpanne wäre vor zehn Jahren passiert: Wie schockiert wären die Verbraucher gewesen?! Mit welcher Vehemenz hätten sie Änderungen gefordert?! Jetzt wirken sie eher abgestumpft und müde angesichts der Reihe von Datendiebstählen und Datenschutzvorfällen der letzten Monate und Jahre. Die meisten sind offensichtlich der Meinung, dass ihre persönlichen Daten ohnehin schon in den falschen Händen sind. Und es ist genau diese Art Akzeptanz, die uns zeigt, wie gleichmütig die Gesellschaft in dieser Hinsicht geworden ist, wenn Unternehmen es mangels effektiver Sanktionierungsmöglichkeiten möglich ist, die Daten wie Nebensächlichkeiten zu behandeln.

Die DSGVO sorgt für Veränderungen

Genau diesen anscheinend nötigen Druck schafft die DSGVO. Wenn man sie ernst nimmt (und Angesicht der oft thematisierten Sanktionsmöglichkeiten sollten Unternehmen sie ernstnehmen), wird man alles daransetzen, die notwendigen Veränderungen vorzunehmen und den Schutz personenbezogener Daten zur Priorität zu machen.

Selbstverständlich kann man nicht mit Bestimmtheit sagen, dass der Equifax-Breach nicht passiert wäre, hätte die DSGVO gegolten. Aber es ist durchaus bemerkenswert, dass gerade in den USA zahlreiche gesetzgeberische Initiativen in Gang gesetzt wurden, die die DSGVO zum Vorbild nehmen. Hoffen wir also, dass wir in zwölf Monaten echten Grund zur Freude haben werden.

Weitere Informationen zum Thema:

datensicherheit.de, 07.09.2018
Hackerattacke auf British Airways: Schnelles Handeln essentiell

datensicherheit.de, 24.07.2018
Datenleck bei Automobil-Zulieferer: Schutz von Daten jenseits der Unternehmensgrenzen

datensicherheit.de, 01.03.2018
Hacker-Angriff auf Datennetzwerk des Bundes: Ganzheitliches Sicherheitsmanagement notwendig

datensicherheit.de, 01.03.2018
Selbst nach Cyber-Attacke: Unternehmen ändern ungern Sicherheitsstrategie

datensicherheit.de, 01.03.2018
Daten als wertvollstes Asset müssen ins Zentrum der Sicherheitsstrategie gestellt werden

[datensicherheit.de, 08.06.2012] Das Hasso-Plattner-Institut (HPI) in Potsdam hat mitgeteilt, daß der mit der SCHUFA Holding AG bestehenden Vertrag über eine Zusammenarbeit bei der Grundlagenforschung rund um technische Verarbeitung öffentlicher Web-Daten heute gekündigt wurde. Angesichts mancher Missverständnisse in der Öffentlichkeit über den vereinbarten Forschungsansatz und darauf aufbauender Reaktionen könne ein solches wissenschaftliches Projekt nicht unbelastet und mit der nötigen Ruhe durchgeführt werden, erklärte HPI-Direktor Christoph Meinel.
Das Hasso-Plattner-Institut für Softwaresystemtechnik GmbH in Potsdam ist Deutschlands universitäres Exzellenz-Zentrum für IT-Systems Engineering. Es betreibt unter Anderem auch eine Research School mit Forschungsaußenstellen in Kapstadt, Haifa und Nanjing. Im Mittelpunkt der HPI-Lehre und -Forschung stehen die Grundlagen und Anwendungen großer, hoch komplexer und vernetzter IT-Systeme, wie z.B. das World Wide Web. Einer der Forschungsschwerpunkte dort ist die semantische Erschließung und die sichere Verarbeitung von Daten. Das HPI kommt bei den CHE-Hochschulrankings stets auf Spitzenplätze

[datensicherheit.de, 07.06.2012] Der BITKOM hat sich aus aktuellem Anlass zu dem Forschungsvorhaben der schufa geäußert, bei dem es um die Gewinnung von Daten aus dem Internet und Sozialen Netzwerken geht:
Nicht alles, was technisch möglich ist, sollte in die Praxis umgesetzt werden, betont BITKOM-Präsident Prof. Dieter Kempf. Das Durchforsten von Sozialen Netzwerken nach Informationen, die Rückschlüsse auf die finanzielle Leistungsfähigkeit erlauben, würde viele Internetnutzer zu Recht verunsichern. Man sollte alles unterlassen, was das Vertrauen in das Internet beschädigt. Es wäre klug, auf manche Gedankenspiele zu verzichten – die Menschen wollten sich frei und ungezwungen im Web bewegen. Diese Freiheit müsse man erhalten und gleichzeitig immer wieder darauf hinweisen, dass man mit persönlichen Informationen im Internet sehr bewusst umgehen sollte, so Professor Kempf.