Plante die Schufa den großen Daten-Coup?
Schwere Vorwürfe gegen die Auskunftei Schufa: Sie plane, in großem Stil Einblick in Girokonten zu nehmen – auch über anlassbezogene Bonitätsprüfungen hinaus.
(Bild: Vi Don via Pixabay)
- Markus Montz
Recherchen von NDR, WDR und Süddeutscher Zeitung (SZ) haben hohe Wellen geschlagen: In einem Feldversuch eröffneten O2/Telefónica und die Schufa Kunden einen Ausweg, die wegen einer schlechten Bonitätseinstufung keinen Laufzeitvertrag erhielten. Um die Kreditwürdigkeit genauer zu prüfen, boten sie ihnen auf der Website des Telekommunikationsanbieters den Service "Schufa Check Now" an. Willigte ein Kunde ein, erlaubte er der Schufa respektive ihrem Tochterunternehmen finAPI einen Lesezugriff auf sein Konto. Anhand der Umsatzdaten wollte die Schufa ermitteln, ob er nicht doch die erforderliche Bonität besitzt.
Was nach Datengier klingt, ist prinzipiell gesetzeskonform und könnte datensparsam, sensibel und im Interesse des Verbrauchers ablaufen. Im Grunde reicht es, wenn eine Auskunftei dem Kunden nach der Analyse das Ergebnis präsentiert und ihn fragt, ob er das ermittelte Ja oder Nein an ein Unternehmen – in diesem Fall O2 – weiterreichen will. Anschließend löscht sie die Daten und das Ergebnis wieder.
So arbeitet die Schufa allerdings bisher nicht und ob sie solch ein Modell im Sinn hatte, ist zumindest fraglich. Zwar erklärte sie auf Nachfrage der Redaktionen, die Daten zweckgebunden und nur kurzzeitig zu speichern und während des Testlaufs ganz darauf zu verzichten. Allerdings gab es zusätzlich noch ein gesondertes Kästchen zum (freiwilligen) Anhaken: Damit räumte der Kunde der Schufa die Möglichkeit ein, seine Umsatzdaten theoretisch bis zu zwölf Monate lang speichern und auf deren Basis neue Produkte entwickeln zu dürfen. Den an der Recherche beteiligten Redakteuren lagen außerdem Dokumente über Vorschläge der Auskunftei vor, perspektivisch neue Scores zu ermitteln. Während die Schufa darauf besteht, dass sie auch dabei noch keine Daten gespeichert und lediglich die Akzeptanz habe ermitteln wollen, sehen Datenschützer große Risiken.
Datenschätze
Die Aussagekraft von Kontoumsatzdaten leuchtet unmittelbar ein. Über Kontostand und Einkommen bis zur pünktlichen Zahlung der Stromrechnung – viele Buchungen sagen etwas über die finanzielle Zuverlässigkeit des Kontoinhabers aus. Zugleich ist es ein offenes Geheimnis, dass Auskunfteien Bonitätswerte bislang auf einer relativ dünnen, von Unternehmen gelieferten Datenbasis erstellen. Darüber kennen sie etwa die Anzahl der Konten und Kreditkarten des Verbrauchers. Sie wissen, ob er Kredite pünktlich zurückgezahlt hat (das ergibt einen positiven Eintrag) oder nicht. Auch unbestrittene Forderungen von Gläubigern können die Bonität beeinflussen (negativ), ebenso Mobilfunkverträge.
(Bild: Jens Kalaene / dpa)
Die begrenzte Datenbasis und fehlerhafte Einträge haben immer wieder dazu geführt, dass Auskunfteien Verbrauchern zu Unrecht eine schlechte Bonität bescheinigen. Diese bekommen dann beispielsweise einen Miet- oder Mobilfunkvertrag nicht. Mit den Kontoumsätzen stünden hingegen Dutzende aussagekräftige Datenpunkte zur Bonitätsprüfung zur Verfügung. Auf dieses Potenzial haben auch auf Kontoabfragen spezialisierte Finanztechnologie-Startups immer wieder hingewiesen.
Mit der Zweiten Europäischen Zahlungsdiensterichtlinie (PSD2) gibt es dafür eine rechtliche Grundlage. Sogenannte Kontoinformationsdienste (KID), ein solcher ist etwa finAPI, dürfen im Auftrag des Kunden dessen Kontoumsätze auslesen, speichern und analysieren – auch für Partnerunternehmen wie die Schufa. Ein KID unterliegt der Regulierung durch die Finanzaufsicht, in Deutschland der BaFin. Er muss bei ihr ein aufwendiges Registrierungsverfahren durchlaufen, sie kontrolliert später außerdem den laufenden Betrieb.
Auf Konten darf der KID nur über eine dedizierte Schnittstelle der Kundenbank zugreifen. Das dafür erforderliche elektronische Zertifikat erhält er nur mit der Registrierung. Außerdem muss sich der Kunde mit seinen Onlinebanking-Zugangsdaten authentifizieren, bevor der KID in das Konto kommt. Für den weiteren Umgang mit den Daten gilt die DSGVO. Sicherheits- und Datenschutzpannen können zum Verlust der Registrierung führen.
Risiken und Nebenwirkungen
Die Kritiker setzen jedoch an anderer Stelle an. Da es sich bei Kontoumsätzen um besonders sensible Daten handelt, warnen sie vor den Risiken solch einer Datenweitergabe und -speicherung. Schließlich gibt es auch potenziell negativ wirksame Buchungen wie Glücksspiel. Kritisiert wurde daher – neben der unklaren Deutung und Gewichtung einzelner Parameter – in erster Linie die optional angebotene Einwilligung, dass die Schufa solche Daten später bis zu zwölf Monate lang speichern darf.
Gegenüber dem Team von NDR, WDR und SZ äußerte etwa Peter Schaar, von 2003 bis 2013 Bundesbeauftragter für den Datenschutz, dass vermutlich niemand die "tatsächliche Reichweite dieser Einwilligung überschauen" könne. Schließlich ließen sich damit auch Persönlichkeitsprofile erstellen, in denen bestimmte Umsätze zulasten des Verbrauchers gedeutet werden, etwa die Teilnahme an Onlinewetten – und dann gäbe es für ihn womöglich auch keine Versicherungsverträge oder Kredite mehr. Zudem könne die Schufa über die Umsätze an Daten Dritter gelangen. Aus Sicht von Thilo Weichert, bis 2015 Landesdatenschutzbeauftragter in Schleswig-Holstein, würden hochsensible Daten ausschließlich im Unternehmensinteresse verwendet, während der Verbraucher dies kaum nachvollziehen könne.
Auf eine Anfrage des Recherchekollektivs, was im Zuge des planmäßigen Betriebs mit den gespeicherten Daten geschehen wäre, gab die Schufa keine Antwort. Offen bleibt bisher auch, ob die Einwilligung "informiert" im Sinne der DSGVO erfolgt ist und die Schufa das Gebot der Zweckbindung eingehalten hat. Derzeit überprüft das Bayerische Landesamt für Datenschutzaufsicht, das vorab nicht informiert wurde, den Service.
Offene Fragen
Für weitergehende Pläne sprechen auch Dokumente, die den beteiligten Redaktionen vorliegen. Demnach spielte die Schufa bereits 2018 mit dem Gedanken, Konten kontinuierlich einsehen und analysieren zu können, um Bonitätswerte ("Scores") laufend anzupassen. In einer Präsentation aus dem Jahr 2019 soll sie neue Scores vorgeschlagen haben, etwa zur Kontoführung oder zu persönlichen Vorlieben der Verbraucher. Ende Oktober 2020 habe eine Vertriebsmitarbeiterin zudem in einer Veranstaltung auf die Frage von Sparkassenvertretern nach dem Datenschutz sinngemäß geäußert, dass die Kunden "sich da durchklicken" würden: "Weil die Leute sind faul und bequem", wenn sie auf den Service aus seien. Die Schufa will diese Aussage als Beschreibung des normalen Nutzerverhaltens verstanden wissen. Kritik entzündet sich auch daran, dass sie und Telefónica den Feldversuch Anfang November 2020 ohne öffentliche Ankündigung gestartet hatten.
Während Telefónica das Projekt mittlerweile beendet hat, legte der Kommunikationschef der Schufa noch einmal nach: Die Schufa habe im gesetzlichen Rahmen der PSD2 gehandelt und man speichere keine "irrelevanten, sensiblen Daten". "Die Art und Weise der Berichterstattung über einen Produkttest (!) der SCHUFA und der Weiterdreh in Kommentaren" habe dafür bereits zu Gewaltaufrufen geführt. Konkreter wurde er allerdings nicht – und beim geplanten Umgang mit Kontodaten beließ er es ebenfalls bei vagen Aussagen.
Meinung des Autors: Transparenz und Datensparsamkeit
Man kann über Auskunfteien durchaus streiten – allerdings reduzieren sie in der Tat das Risiko von Händlern, Dienstleistern und Banken, Zahlungsausfälle verkraften zu müssen. Das wirkt sich auch auf Zinsen und Gebühren für solvente Schuldner und Verbraucher aus. Die müssten sonst mehr Zahlungsausfälle finanziell mittragen.
Klar ist aber auch, dass Auskunfteien zwischen Risikominimierung für Unternehmen und tiefen Eingriffen in Rechte von Verbrauchern agieren. Zudem arbeiten sie bisher intransparent. Die Schufa verrät nur rudimentär, welche Parameter in den Score einfließen, und nicht, wie sie gewichtet werden. Zudem beschädigen immer wieder veraltete und fehlerhafte Einträge die Bonität von Verbrauchern. Dass Schufa & Co. nicht allzu beliebt sind, liegt nicht zuletzt an ihnen selbst. Die PSD2 hätte nun eine Möglichkeit geboten, Scores fortan auf besserer Datenbasis und mit mehr Transparenz zu ermitteln. Sogar der Geist von PSD2 und DSGVO ließe sich umsetzen: "Privacy by design" hieße das Zauberwort, ergänzt um "transparency by design".
Doch die Schufa verschanzt sich hinter den Buchstaben der PSD2, anstatt sie für eine neue, von Transparenz und Datensparsamkeit geprägte Kultur der Bonitätsprüfung zu nutzen. Der still begonnene Feldversuch war angesichts ihres Rufs daher instinktlos. Gleiches gilt für Telefónica – zumal Verbraucherschützer und Medien bei ihnen sehr genau hinschauen.
Damit konterkarieren die beiden Unternehmen die an sich gute Idee des "Open Banking" in der PSD2 – nämlich dem (gut informierten und aufgeklärten!) Verbraucher anstelle seiner Bank die Hoheit über die Verwendung seiner Daten zu geben. Das ist vor allem für diejenigen bedauerlich, die von datenschutzfreundlich gestalteten Services profitieren könnten. Schließlich ist es kein Spaß, wegen einer fehlerhaften Bonitätsprüfung keinen Mietvertrag zu erhalten. Mir kann jedenfalls niemand erzählen, dass sich sensibler Umgang mit Verbraucherdaten und Bonitätsprüfungen widersprechen müssen – "privacy and transparency by design" könnte langfristig sogar das profitablere Geschäftsmodell sein.
c’t 1/2021
Dieser Artikel stammt aus c’t 1/2021. Darin beraten wir Sie bei der Auswahl und Einrichtung von Netzwerkspeichern für zu Hause und testen passende NAS-Leergehäuse. In einem weiteren Schwerpunkt beleuchten wir die Sicherheit von Krankenkassen-Apps und Kartenterminals und zeigen, wie Sie Android-Apps für E-Health selbst analysieren können. Ebenfalls brisant: Ein Serverfehler ermöglichte Identitätsklau bei Hostern und die Schufa will Privatkonten durchleuchten. Wir haben Tastaturen für Vielschreiber getestet, Telefonanlagen fürs Homeoffice und vieles mehr. c't 1/2021 ist ab sofort im Heise-Shop und am gut sortierten Zeitschriftenkiosk erhältlich.
(mon)
