Datenschutz: Scoring-Verfahren gesetzeskonform einsetzen

Scoring-Verfahren helfen dabei, Risiken im Kundengeschäft einzuschätzen. Was dabei erlaubt ist, regelt insbesondere das Bundesdatenschutzgesetz.

Dieser Artikel behandelt

Datenschutz

Bevor Finanzinstitute einen Kredit vergeben, wollen sie zuerst wissen, ob sie das geliehene Geld sowie die geforderten Zinsen auch wirklich bekommen werden. Das Ausfallrisiko hängt von der aktuellen Situation, aber auch von den zukünftigen Entwicklungen bei dem Bankkunden ab. Die Risikoanalysen der Banken betrachten deshalb nicht nur die aktuelle Lage des Kunden, sondern immer auch die Zukunft.

Bei diesen Risikoanalysen kommen sogenannte Scoring-Verfahren zum Einsatz. Dabei bezeichnet Scoring die Berechnung der Wahrscheinlichkeit eines bestimmten Ereignisses, zum Beispiel des Kreditausfalls. Ist der Scoring-Wert für den Kreditausfall hoch, der Kreditausfall also sehr wahrscheinlich, wird die Bank entweder das Kreditlimit verringern oder sogar den Kredit komplett verweigern.

Neben dem Kredit-Scoring gibt es zahlreiche weitere Anwendungen für Scoring-Verfahren, die ebenfalls einen Personenbezug haben und deshalb ein Thema für den Datenschutz sind. Dazu zählen auch Module von E-Commerce-Lösungen, die bei der Einschätzung helfen sollen, welche Zahlungsvarianten einem Kunden angeboten werden, ob also zum Beispiel nur gegen Vorkasse geliefert wird.

Automatisierte Bewertung von Kundenrisiken

Als Betreiber einer E-Commerce-Lösung, aber auch als Anbieter von E-Commerce-Software sollte man genau wissen, welches Scoring-Verfahren zum Einsatz kommt. Zu klären ist, ob also die Scoring-Werte von einer der Auskunfteien ermittelt oder ob eigene Verfahren genutzt werden, um die Wahrscheinlichkeit für das Eintreten bestimmter Kundenrisiken zu bestimmen.

Im Bundesdatenschutzgesetz (BDSG) gibt es klare Vorgaben, wann und wie ein Scoring-Verfahren genutzt werden darf. So findet sich dort im § 28b BDSG, dass für die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses nur dann die Wahrscheinlichkeit für ein bestimmtes zukünftiges Verhalten erhoben oder verwendet werden darf, wenn

  • ein anerkanntes mathematisch-statistisches Verfahren genutzt wird;
  • die verwendeten Daten dafür tatsächlich notwendig sind;
  • die Daten bei Nutzung einer Auskunftei auch an diese übermittelt werden dürfen;
  • nicht nur Anschriftendaten für das Scoring genutzt werden;
  • und bei Nutzung von Anschriftendaten die Betroffenen über die Nutzung der Daten vorab informiert worden sind.

Eigene Verfahren genau hinterfragen

Während die Auskunfteien der regelmäßigen Kontrolle durch die Aufsichtsbehörden für den Datenschutz unterliegen, sind selbst entwickelte Verfahren für ein Scoring zwar nicht außerhalb der Datenschutzkontrolle, aber nicht jeder Anbieter oder Nutzer von entsprechenden E-Commerce-Modulen ist sich der Datenschutzanforderungen wirklich bewusst. 

Im Bundesdaten-schutzgesetz gibt es klare Vorgaben, wann und wie ein Scoring-Verfahren genutzt werden darf.

So ist es insbesondere nicht zulässig, möglichst viele Daten über das Verhalten eines Kunden zu sammeln, um daraus Wahrscheinlichkeiten für ein bestimmtes Risiko zu bestimmen.

Die Daten, die für das Scoring-Verfahren genutzt werden, müssen tatsächlich relevante Umstände betreffen, die eine Rolle für die zu ermittelnde Wahrscheinlichkeit haben. Verwendet werden dürfen zudem nur solche Daten, die auch gespeichert werden dürfen. 

Wenn neue Scoring-Verfahren zum Beispiel soziale Netzwerke als Datenquelle für sich entdeckt haben, sollte zuerst geprüft werden, welche dieser Daten aus den sozialen Netzwerken wirklich relevant sind und welche aus Datenschutzsicht überhaupt von dort übernommen und im Scoring-Modul verarbeitet werden dürfen.

Datensparsamkeit auch beim Scoring

Auch wenn Scoring-Verfahren Unternehmen vor Schaden bewahren sollen, in dem die Eintrittswahrscheinlichkeit für bestimmte Kundenrisiken berechnet und berücksichtigt werden, sieht der Datenschutz keinen Grund, von dem Grundsatz der Datensparsamkeit und Datenvermeidung abzurücken. Somit müssen auch entsprechende Risikoanalysen datensparsam sein.

Anbieter und Nutzer von Scoring-Modulen in E-Commerce-Lösungen (oder anderen IT-Verfahren, die Wahrscheinlichkeiten für besondere Risiken berücksichtigen) sollten also genau prüfen, welche Daten für das Scoring verwendet werden. Kommen fehlerhafte Daten zum Einsatz, haben die Betroffenen das Recht auf eine Korrektur. Zu den Betroffenenrechten zählen auch Auskünfte über die individuellen Scoring-Werte und die zur eigenen Person gespeicherten Daten (§ 34 BDSG).

Ein Anspruch, das Scoring-Verfahren und die genutzten Formeln selbst einsehen zu können, besteht dagegen nicht (BGH, VI ZR 156/13). Es bleibt aber festzuhalten, dass die Berechnung von Wahrscheinlichkeiten nicht nur die Risikoanalyse optimieren kann, sondern auch selbst Datenrisiken in sich trägt, die die Aufsichtsbehörden auf den Plan rufen können. Datenschutzgerechtes Scoring erfordert immer auch ein datensparsames Datenmodell.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Dezember 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datenschutz und Datensicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close