28

Lücken im Prüfsystem Auskunfteien beauftragen Gutachten selbst

Wirtschaftsauskunfteien wie die Schufa speichern Daten über Millionen von Bürgern. Geprüft werden sie von den Datenschutzbeauftragten der Länder. Doch die verlassen sich nach BR-Recherchen auf Gutachten – bezahlt von den Auskunfteien. Zudem wird das Scoring derzeit nicht flächendeckend auf mögliche Diskriminierung geprüft.

Von: Wolfgang Kerler (ARD-Hauptstadtstudio), Uli Köppen, Oliver Schnuck und Maximilian Zierer (BR Data)

Stand: 16.05.2018

Lupe über einem Aktenordner betrachtet Zahnräder | Bild: BR

Einmal im Jahr kann jeder Bürger kostenlos seine Schufa-Auskunft abfragen, die besagen soll, wie kreditwürdig man ist. Was man jedoch nicht erfährt, ist, wie dieser Score zustande kommt. Denn die Berechnungsformel hinter dem Score ist ein Geschäftsgeheimnis. Im Februar hat die Initiative OpenSchufa dazu aufgerufen, gemeinsam mehr über den Schufa-Score herauszufinden. Die Initiatoren finden, Auskunfteien wie die Schufa müssen mehr Einblick geben, wie sie zu ihren Ergebnissen kommen.

"OpenSchufa"

Mehr als 20.000 Menschen sind dem Aufruf von OpenSchufa gefolgt und haben ihre Schufa-Auskunft angefordert. Nun bietet die Initiative ein Upload-Portal an, über das man seine Schufa-Auskunft anonymisiert hochladen kann. Datenjournalisten des Bayerischen Rundfunks und des Spiegel werten diese anonymisierten Daten anschließend unabhängig von der Initiative aus. Die Schufa rät davon ab, die Datenübersicht mit anderen zu teilen.

Auskunfteien geben Gutachten selbst in Auftrag

Die Schufa selbst verweist auf ein mehrfaches Prüfverfahren ihrer Score-Berechnung. Das Unternehmen schreibt auf seiner Webseite: "Das Schufa-Verfahren zur Scoreberechnung ist bereits für Behörden und Aufsichten transparent". Damit ist gemeint, dass Auskunfteien wie die Schufa ihr Verfahren zur Score-Berechnung den Datenschutzbehörden zur Überprüfung offenlegen – allerdings geschieht dies nach Recherchen der Datenjournalisten des Bayerischen Rundfunks zu einem wesentlichen Teil auf Grundlage von Gutachten, die Auskunfteien selbst bei Universitäten und Wissenschaftlern in Auftrag geben. Dabei wählen die Auskunfteien die Institute aus, beauftragen und bezahlen sie. Ein System, das Datenschützer Thilo Weichert als äußerst unzureichend empfindet. Weichert kennt die Arbeit in einer Datenschutzbehörde aus 25-jähriger Erfahrung, unter anderem war er bis 2015 Datenschutzbeauftragter des Landes Schleswig-Holstein:

"Diese Gutachten sollen unabhängig sein, werden aber von den Auskunfteien bezahlt. Natürlich sehe ich da einen Interessenskonflikt."

Thilo Weichert, Ehemaliger Datenschutzbeauftragter des Landes Schleswig-Holstein

Auch andere Auskunfteien legen den Datenschutzbehörden Gutachten vor, etwa Crif Bürgel, Creditreform oder Infoscore. Dabei ergibt sich dasselbe Bild: Die Auskunfteien sind Auftraggeber für Gutachten, die ihre eigene Arbeit beurteilen. Die Wissenschaftler bewerten dabei, ob die eingehenden Kriterien auch wirklich eine Aussage über die Kreditwürdigkeit einer Person erlauben. Mehr fordert das Gesetz nicht. Das Verbraucherschutzministerium teilt mit, die Gutachten-Praxis sei im Ministerium nicht bekannt.

Fragen an die Uni, Antwort von der Schufa

Die Schufa betont, dass sie Wert auf die Unabhängigkeit der Institute legt. Die Universität Bayreuth sieht in der Gutachten-Praxis ebenfalls keinen Interessenskonflikt. Nach einer BR-Anfrage an die Universität Bayreuth nach dem Zustandekommen des Schufa-Gutachtens kommt dann unerwartet Antwort – von der Schufa, der die Fragen weitergeleitet wurden und die ungebeten darauf antwortet. Zitieren darf man daraus jedoch nicht. Auf Nachfrage teilt die Universität mit, dass die Fragen nicht von der Universität selbst, sondern von einem der beteiligten Wissenschaftler weitergeleitet wurden.

Landesdatenschutzbehörden uneins

Die Behörde des Hessischen Datenschutzbeauftragten, die neben der Schufa auch andere Auskunfteien beaufsichtigt, hält die aktuelle Gutachten-Praxis für unproblematisch – man könne im Zweifel ein eigenes Gutachten beauftragen und bezahlen. Allerdings hat die Behörde von dieser Möglichkeit noch nie Gebrauch gemacht. Bisher sei dies nicht erforderlich gewesen, so ein Sprecher.

Die Datenschutzbehörde in Nordrhein-Westfalen betont hingegen, dass den Datenschutzbehörden die erforderliche Fachkunde fehle, um wichtige Aspekte bewerten zu können. "Wir können die Gutachten damit nur auf Plausibilität prüfen", so ein Sprecher der Behörde, die für die Auskunftei Creditreform zuständig ist. "Für die externe Vergabe eines Prüfungsauftrags fehlen die finanziellen Mittel." Deshalb fordert die Behörde, Scoring-Verfahren durch unabhängige Stellen überprüfen zu lassen, auch wenn der gesetzlichen Pflicht durch die derzeitige Gutachten-Praxis Genüge getan sei.

Auch andere Experten wie der frühere Bundesdatenschutzbeauftragte Peter Schaar fordern eine unabhängige Prüfung der Algorithmen, die über die Kreditwürdigkeit von Millionen von Bürgern entscheiden. Die Idee: eine Art "Algorithmus-TÜV".

Keine flächendeckende Prüfung auf Diskriminierung

Thilo Weichert, der Ex-Datenschutzbeauftragte von Schleswig-Holstein, benennt ein weiteres Manko des Prüfverfahrens: Es gibt keine einheitliche und strukturelle Prüfung der Scoring-Verfahren auf mögliche Diskriminierung. Gemeint ist damit, ob Variablen wie Alter, Geschlecht oder Wohnort diskriminierend ins Scoring einfließen. "Das wird von Behörde zu Behörde unterschiedlich gesehen – wir in Schleswig-Holstein haben den Diskriminierungsschutz als Teil des Datenschutzes gesehen. Andere Behörden sehen das anders", so Weichert.

Tatsächlich bestätigt die hessische Datenschutzbehörde, dafür nicht den Auftrag zu haben: "Die Diskriminierungsprüfung unterliegt nicht meiner gesetzlich vorgegebenen Kompetenz. Eine andere zuständige Behörde dafür ist mir nicht bekannt." Das Landesamt für Datenschutzaufsicht Bayern, das für die Auskunftei Crif Bürgel zuständig ist, gibt an, anhand von Einzelfällen auf Diskriminierung zu prüfen und legt dabei einen besonderen Schwerpunkt auf die Gewichtung der Wohnadresse.

Datenschutzgrundverordnung bringt keine Verbesserung

Die Rechtslage ändert sich nach Einschätzung der Landesdatenschutzbehörden auch nicht grundlegend durch die europäische Datenschutzgrundverordnung, die am 25. Mai in Kraft tritt. Weichert hat wenig Hoffnung, dass den Scorern bald mehr Regeln auferlegt werden: "Diese allgemeinen Regelungen müssen präzisiert werden durch den nationalen Gesetzgeber. Doch der lehnt sich zurück und wartet ab, bis es da noch mehr politischen Druck gibt."

Wie groß jedoch der Druck für die Auskunfteien ist, die Prüfverfahren gut darzustellen, zeigt das Beispiel der Schufa, die dafür auf ihrer Webseite sogar die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) bemüht. Die Bafin ist für eine Überprüfung von Auskunfteien jedoch gar nicht zuständig. Auf Nachfrage heißt es von der Bafin, die Darstellung der Schufa "könnte den Eindruck erwecken, dass die Bafin die Modelle der Schufa prüft. Dies ist nicht der Fall."

Update vom 16.05.2018, 15.40 Uhr: Die Universität Bayreuth sieht in der Gutachten-Praxis ebenfalls keinen Interessenskonflikt.

Zur Recherche

Die Schufa hat zahlreiche Mitbewerber, ist aber eine der größten, einflussreichsten und sicherlich die bekannteste Auskunftei Deutschlands. Die beschriebene Prüfpraxis der Scores betrifft jedoch nicht nur die Schufa, sondern auch ihre Mitbewerber. Deshalb haben wir auch Crif Bürgel, Infoscore oder Creditreform sowie jeweils die zuständigen Datenschutzbeauftragten der Länder zum Prüfverfahren befragt.

Gern hätten wir die Sicht der Schufa dargestellt, nur das Unternehmen untersagt uns bei jeder Antwort, daraus zu zitieren. Ein sehr langes Zitat gibt uns die Schufa schließlich frei. Da es nur ungekürzt erscheinen darf, können wir es in der Art nicht in die Berichterstattung einfließen lassen.


28

Keine Kommentare mehr möglich. Hinweise zum Kommentieren finden Sie in den Kommentar-Spielregeln.)

Blechmann13, Donnerstag, 17.Mai, 12:16 Uhr

8. Ach ist das schön!

Jeder macht seine Gutachten selbst, und überwacht, bzw. kontrolliert sich selbst, und schon leben wir einer perfekten Welt...jedenfalls auf dem Papier, dass dann die Druckerschwärze nicht wert ist, mit dem der Text gedruckt ist.... ^^

Hört sich so ähnlich wie bei der Dieselaffäre an...
Abgaswerte?
Die sind doch O.K.!
Da stehts doch, schwarz auf weiß.
Direkt aus der Bordelektronik, und über die Steuerungssoftware ausgelesen.
Und Zahlen lügen nie! ^^

mfg

Roman Kindl, Mittwoch, 16.Mai, 14:47 Uhr

7. Zuständige Behörde für Schutz gegen Diskriminiereung

Tatsächlich kann ich nachvollziehen, dass sich die Datenschutzbehörden der Länder nur begrenzt für den Schutz gegen Diskriminierung bei den Scoring-Algorithmen zuständig fühlen. Zumal deren Ressourcen mitunter sehr knapp bemessen sind - das bayerische Landesamt für Datenschutzaufsicht hat meines Wissens nach nur 20 Bedienstete. Ein Ansprechpartnerin dafür könnte jedoch die Antidiskriminierungsstelle des Bundes sein. Von ihr findet sich leider keine Stellungnahme im Beitrag.

Verwaltungsvereinfacher, Mittwoch, 16.Mai, 13:48 Uhr

6. Eigene Gutachten auch für die Steuerprüfung?

Sehr geehrte Damen und Herren der Finanzverwaltung,

hiermit zeige ich an, meine Steuerprüfung künftig selbst von mir durch Gutachten durchzuführen ;-)
Na, da kommt doch Begeisterung beim Finanzamt auf?

Aber auch Richter können sich die mühsame Arbeit der Wahrheitsfindung sparen. Der Bankräuber kommt künftig mit seinem Gutachten beim Gericht vorbei und belegt, dass der Überfall nur für gemeinnützige Zwecke verübt wurde.

Oder wie wäre es bei der Lebensmittelüberwachung. Die Hersteller stellen sich Persilscheingutachten aus.

Die Leute regen sich über das PAG auf, zum Teil zurecht, aber die privaten Datenschnüffler von Social Media bis Auskunfteien werden stoisch ertragen.
Nur weil es technisch etwas komplexer zu verstehen ist, was, wie, wann und wo alles aus Smartphones an Daten abfliesst und im Dark Data Hole verschwindet nehmen es die Verbraucher hin. Tja, was ich nicht weiß, stört mich nicht?

Dagegen ist das PAG vergleichsweise transparent.

RaN, Mittwoch, 16.Mai, 10:07 Uhr

5. Bisher keine Schufa-Auskunft erhalten...

Leider haben ich und meine Frau bisher trotz dreifachen Antrags inklusive Vorlage der jeweiligen Personalausweis-Kopie keine Schufa-Auskünfte erhalten. Angeblich können unsere Daten nicht eindeutig zugeordnet werden. Eine Auskunft sei nur möglich unter Angabe vorheriger Wohnsitze, obwohl wir seit zehn Jahren denselben Wohnsitz haben.
Da wir der Schufa nicht freiwillig weitere Daten von uns zur Verfügung stellen möchten, werden wir also nie eine Auskunft über unsere dort hinterlegten Daten erhalten...

Inwiefern die neue Datenschutzverordnung uns als Verbraucher nicht die Möglichkeit bietet, unsere Daten löschen zu lassen, verstehe ich nicht. Jedes Unternehmen ist dazu verpflichtet, diese Auskunfteien aber nicht?

  • Antwort von FXW, Freitag, 18.Mai, 13:33 Uhr

    Beschwerden nehmen die Datenschutzbeauftragten entgegen. Das funktioniert dann schon.

AndreasP, Mittwoch, 16.Mai, 09:11 Uhr

4. Was soll die Rechtsgrundlage für ein Zitatverbot sein?

"Gern hätten wir die Sicht der Schufa dargestellt, nur das Unternehmen untersagt uns bei jeder Antwort, daraus zu zitieren."

Wie kommt der BR dazu, sich auf so ein "Verbot" eines privaten Unternehmens einzulasssen? Es gilt immer noch Pressefreiheit, und auch das Urheberrecht greift nur bedingt, da Zitate erlaubt sind, und sinngemäße ohnehin.