OpenSCHUFA-Kampagne: Forderungen an den Hessischen Datenschutzbeauftragten

Transparenz/ Mai 5, 2019/ alle Beiträge, Automatisierte Einzelentscheidung / Profile, Hessischer Datenschutz, Verbraucherdatenschutz/ 1Kommentare

Ob Kredite, Handyverträge oder Wohnungsbewerbungen – bei wichtigen Verbraucherfragen spielt der SCHUFA-Score eine zentrale Rolle. Wer zu wenige Punkte hat, geht oft leer aus. Das Scoring-Verfahren des Privatunternehmens SCHUFA ist allerdings höchst intransparent. Als Geschäftsgeheimnis ist es der Öffentlichkeit nicht zugänglich. Mit OpenSCHUFA haben die Open Knowledge Foundation Deutschland und AlgorithmWatch im letzten Jahr zu einer Kampagne aufgerufen, um Einblicke in die die Blackbox SCHUFA zu gewinnen und auf bestehende Missstände aufmerksam zu machen.

Diese Kampagne wurde jetzt beendet. U. a. Mit einer massiven Kritik am Nicht-Handeln des Hessischen Datenschutzbeauftragten Prof. Dr. Michael Ronellenfitsch. Dieser ist die zuständige Datenschutz-Aufsichtsbehörde für die in der hessischen Landeshauptstadt Wiesbaden ansässige SCHUFA Holding AG. Diesen Abschnitt aus dem Abschlussbericht der openSCHUFA-Kampagne ist nachstehend im Wortlaut wiedergegeben:

„Der Hessische Datenschutzbeauftragte muss seiner Aufsichtspflicht nachkommen (können).

Die Behörde ist für die Kontrolle der SCHUFA zuständig. Offensichtlich ist sie aber damit überfordert. Ein für gesellschaftliche Teilhabe so zentrales Privatunternehmen muss durch demokratisch legitimierte Einrichtungen angemessen und wirksam überprüft werden. Der Datenschutzbeauftrage – oder eine andere, alternativ zu bestimmende Organisation – muss regelmäßig, z.B. alle zwei Jahre, die SCHUFA und vergleichbare Unternehmen umfassend begutachten. Dabei darf es nicht nur um die mathematische/statistische Korrektheit des Verfahren gehen, sondern es sollten folgende Aspekte berücksichtig werden:

• die Datenhaltung und Datenkonsistenz
• die sozialen Auswirkungen durch mögliche Diskriminierungseffekte
• die effektiven Einspruchsmöglichkeiten Betroffener.

Die für diesen Zweck erstellten Gutachten müssen vollständig öffentlich zugänglich sein.“

Eine weitere zentrale Forderung von OpenSCHUFA:

„Die DSGVO bzw. das Bundesdatenschutzgesetz (BDSG) muss angepasst werden.

• Die Regelungslücke, dass die SCHUFA – und ähnliche Unternehmen – ihr Verfahren Betroffenen nicht erläutern muss, sollte geschlossen werden (DSGVO Art. 22, BDSG §31). Weil sie aufgrund des von ihrer errechneten Scores selbst keine Entscheidung trifft und/oder keine rein automatischen Entscheidungen aufgrund des Scores getroffen werden, muss das Scoring-Verfahren (Profiling) nicht erläutern werden. Dieser widersinnige Zustand muss behoben werden.
• Es muss überprüft werden, ob die SCHUFA und vergleichbare Unternehmen den Kriterien der DSGVO Art. 12 nachkommen. Dort heißt es, dass dem Betroffenen vom Unternehmen „alle Informationen […], die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu übermitteln sind. Ob die Auskünfte der SCHUFA in der derzeitigen Form dieser Regelung entsprechend, ist mehr als zweifelhaft.
• Die DSGVO muss so geändert werden, dass die SCHUFA und vergleichbare Unternehmen kurzfristig auf digitalen Weg kostenfrei Auskunft über die gespeicherten Daten und weitere Informationen Auskunft erteilen müssen. Dass die SCHUFA derzeit bis zu 30 Tage Zeit hat, auf dem Postweg einen Zugang zu den digitalen Daten zu liefern (als jpg-Bilddatei), ist eine Farce. Unternehmen, die Individuen de facto zur Datenübermittelung zwingen können, um am gesellschaftlichen Leben teilhaben zu dürfen, dürfen kein Geschäftsmodell daraus machen, Auskunft zu erteilen. Die SCHUFA muss nach einer einmaligen Online-Registrierung, bei der auch ein Nachweis der Berechtigung erfolgen kann (Postident, Online-Personalausweis-Überprüfung o.ä.), den sofortigen Abruf der Daten ermöglichen, über die Bonitätsprüfungsunternehmen Auskunft geben müssen.“

Quelle: @arnesemsrott