Definition und Grundlagen des Scoring
Scoring bezeichnet ein statistisch-mathematisches Verfahren zur Bewertung und Prognose der Wahrscheinlichkeit künftigen Verhaltens anhand bestimmter Merkmale, insbesondere im Zusammenhang mit der Kreditwürdigkeit von Personen oder Unternehmen. Ziel des Scoring ist es, anhand von erhobenen Daten mathematisch eine Prognosewahrscheinlichkeit zu bilden, die häufig als Scorewert (Punktwert) abgebildet wird. Das Scoring wird in verschiedenen Bereichen eingesetzt – vorrangig im Finanzwesen, jedoch auch im Versicherungswesen, im Handel oder zur Bonitätsprüfung bei Geschäftsabschlüssen.
Rechtliche Grundlagen des Scoring
Gesetzliche Regelungen in Deutschland
In Deutschland ist das Scoring insbesondere durch das Bundesdatenschutzgesetz (BDSG) sowie die Datenschutz-Grundverordnung (DSGVO) geregelt. Die maßgeblichen Vorschriften finden sich hauptsächlich in § 31 BDSG (Scoring und Bonitätsauskünfte).
§ 31 BDSG: Scoring und Bonitätsauskünfte
§ 31 BDSG regelt ausdrücklich die Zulässigkeit von Scoringverfahren. Demnach dürfen solche Verfahren nur eingesetzt werden, sofern mathematisch-statistische Methoden verwendet werden und die verwendeten Daten nachweislich relevant für die Prognose sind. Zudem verpflichtet § 31 BDSG private Auskunfteien dazu, für das Scoring ausschließlich hinreichend aktuelle und tageweise nachvollziehbare Daten heranzuziehen.
Datenschutz-Grundverordnung (DSGVO)
Die DSGVO enthält seit 2018 europaweit geltende Vorgaben für die Verarbeitung personenbezogener Daten, auch soweit sie für Scoring-Verfahren genutzt werden. Besonders relevant ist dabei Art. 22 DSGVO, der die Rechte der Betroffenen im Zusammenhang mit automatisierten Einzelentscheidungen einschließlich Profiling schützt. Ein rein automatisiertes Scoring, das „rechtliche Wirkung entfaltet oder Betroffene in ähnlicher Weise erheblich beeinträchtigt“, darf demnach grundsätzlich nur unter bestimmten Voraussetzungen stattfinden.
Zulässigkeit der Datenverwendung beim Scoring
Die Zulässigkeit von Datenerhebung und -verwendung für Scoring-Prozesse hängt wesentlich davon ab, ob eine gesetzliche Grundlage oder eine wirksame Einwilligung der betroffenen Person vorliegt (Art. 6 DSGVO). Die einschlägigen rechtlichen Vorgaben fordern, dass die Daten für eine faire und sachgerechte Beurteilung objektiv geeignet sind und in einem angemessenen Verhältnis zur Prognose stehen.
Datenarten beim Scoring
Im Rahmen des Scoring können verschiedene Datenarten verarbeitet werden, darunter:
- Personenbezogene Daten: Name, Anschrift, Geburtsdatum usw.
- Vertragsdaten: Bestehende und frühere Verträge, Zahlungsverhalten
- Öffentliche Daten: Registereinträge, Insolvenzinformationen
- Daten aus eigenen Beobachtungen: z. B. Zahlungsverhalten bei wiederkehrenden Kunden
Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (z. B. Gesundheitsdaten) sind beim Scoring grundsätzlich unzulässig, sofern keine explizite Ausnahme besteht.
Transparenz- und Informationspflichten
Scoring verantwortliche Stellen sind verpflichtet, Betroffene über die Verwendung ihrer Daten sowie über das Zustandekommen des Scorewerts zu informieren (Art. 13, 14 und 15 DSGVO). Insbesondere müssen sie die wesentlichen Grundsätze des Scoring und die einbezogenen Datenarten offenlegen.
Verfahren und Methoden des Scoring
Das Scoring erfolgt in unterschiedlichen Ausprägungen, darunter:
Kredit-Scoring
Beim Kredit-Scoring werden bonitätsrelevante Daten herangezogen, um das Risiko eines Kreditausfalls einzuschätzen, etwa durch Banken oder Auskunfteien wie die SCHUFA.
Verhaltenbasiertes Scoring
Dabei werden vergangene Verhaltensmuster zur Ableitung künftiger Zahlungswahrscheinlichkeiten analysiert, beispielsweise im Online-Handel.
Regelbasiertes versus selbstlernendes Scoring
Regelbasierte Scoring-Modelle basieren auf festen, nachvollziehbaren Algorithmen, während selbstlernende Systeme (z. B. durch Künstliche Intelligenz) eigenständig Muster erkennen, was zu erweiterten rechtlichen Anforderungen an Nachvollziehbarkeit und Transparenz führt.
Rechtliche Beurteilung von Scoring-Verfahren
Transparenz und Nachvollziehbarkeit
Ein zentrales rechtliches Erfordernis ist, dass das Zustandekommen des Scores nachvollziehbar sein muss. Die verantwortlichen Unternehmen müssen darlegen können, welche Daten und Kriterien zur Bewertung geführt haben. Insbesondere automatisierte Einzelfallentscheidungen nach Art. 22 DSGVO müssen für Betroffene überprüfbar und anfechtbar sein.
Betroffenenrechte beim Scoring
Auskunftsrecht
Betroffene haben das Recht, Auskunft über die zu ihrer Person gespeicherten Daten sowie über die Quellen, Empfänger und das zugrundeliegende Verfahren zu verlangen (Art. 15 DSGVO).
Recht auf Berichtigung und Löschung
Werden unrichtige oder veraltete Daten verwendet, besteht ein Anspruch auf Berichtigung oder Löschung der Angaben (Art. 16 und 17 DSGVO).
Widerspruchsrecht und Einschränkung
Betroffene können der Verarbeitung ihrer Daten zu Scoring-Zwecken widersprechen (Art. 21 DSGVO) sowie die Einschränkung der Verarbeitung verlangen (Art. 18 DSGVO).
Recht auf menschliches Eingreifen
Bei ausschließlich automatisierten Entscheidungen mit erheblicher Wirkung steht Betroffenen das Recht zu, ein Eingreifen einer natürlichen Person einzufordern, ihren eigenen Standpunkt darzulegen und die Entscheidung anzufechten (Art. 22 Abs. 3 DSGVO).
Missbrauchsgefahren und Sanktionen
Werden datenschutzrechtliche Vorgaben beim Scoring missachtet, drohen empfindliche Sanktionen, etwa Bußgelder nach Art. 83 DSGVO. Besonders kritisch sind intransparente oder diskriminierende Vorgehensweisen, etwa wenn Scorewerte auf nicht objektiven oder verbotenen Kriterien basieren.
Scoring im internationalen Kontext
Die rechtlichen Anforderungen an Scoring unterscheiden sich international, weshalb insbesondere bei Datenübermittlungen in Drittstaaten zusätzliche Schutzmaßnahmen zu treffen sind. Innerhalb der Europäischen Union gelten die einheitlichen Vorschriften der DSGVO, wobei nationale Ausprägungen – wie etwa das BDSG in Deutschland – weitere Konkretisierungen umfassen.
Zusammenfassung und Ausblick
Das Scoring stellt ein zentrales Instrument zur Beurteilung wirtschaftlicher Risiken dar und unterliegt strengen datenschutzrechtlichen und verbraucherschutzrechtlichen Rahmenbedingungen. Die rechtliche Ausgestaltung gewährleistet Transparenz, Nachvollziehbarkeit sowie effektiven Betroffenenrechtsschutz. Angesichts technischer Entwicklungen und der zunehmenden Digitalisierung bleiben die Herausforderungen bei der rechtskonformen und verantwortungsvollen Anwendung des Scoring hochrelevant.
Siehe auch:
Bonitätsprüfung, Datenschutz, Verbraucherschutz, Künstliche Intelligenz, DSGVO, BDSG.
Häufig gestellte Fragen
In welchen Fällen ist der Einsatz von Scoring durch Unternehmen rechtlich zulässig?
Der Einsatz von Scoring durch Unternehmen, insbesondere im Rahmen von Bonitätsprüfungen, ist in Deutschland und der EU grundsätzlich durch das Datenschutzrecht, insbesondere die Datenschutz-Grundverordnung (DSGVO) sowie das Bundesdatenschutzgesetz (BDSG), geregelt. Scoring darf nur dann eingesetzt werden, wenn eine gesetzliche Grundlage vorliegt oder die betroffene Person eingewilligt hat. Die häufigste Rechtsgrundlage ist das berechtigte Interesse des Verantwortlichen (Art. 6 Abs. 1 lit. f DSGVO), das jedoch stets gegen die schutzwürdigen Interessen der betroffenen Person abgewogen werden muss. Darüber hinaus regelt § 31 BDSG besondere Voraussetzungen für das Scoring: Dabei dürfen ausschließlich Daten genutzt werden, die nach anerkannten mathematisch-statistischen Verfahren errechnet wurden. Personenbezogene Daten, die in das Scoring einfließen, müssen sachlich relevant, aktuell und richtig sein. Eine Verwendung besonders sensibler Daten (z. B. Gesundheitsdaten) ist grundsätzlich untersagt. Zudem besteht eine Informationspflicht gegenüber der betroffenen Person, die über die Nutzung von Scoring-Methoden und deren Auswirkungen auf Entscheidungen aufgeklärt werden muss.
Welche Rechte haben Betroffene hinsichtlich der Verwendung ihrer Daten beim Scoring?
Betroffene Personen besitzen laut DSGVO umfangreiche Rechte im Zusammenhang mit der Verarbeitung ihrer Daten im Rahmen von Scoring-Prozessen. Sie haben insbesondere ein Recht auf Auskunft (Art. 15 DSGVO), das es ihnen erlaubt, Informationen darüber zu erhalten, welche personenbezogenen Daten verarbeitet werden und zu welchem Zweck. Dazu gehört auch das Recht zu erfahren, welche Kriterien und Daten in das Scoring einfließen und wie das Ergebnis zustande kommt. Ferner besteht ein Recht auf Berichtigung (Art. 16 DSGVO), falls die verwendeten Daten unrichtig oder unvollständig sind. Das Recht auf Löschung (Art. 17 DSGVO, „Recht auf Vergessenwerden“) kann geltend gemacht werden, wenn die Daten unrechtmäßig verarbeitet wurden oder für die Zwecke der Verarbeitung nicht mehr notwendig sind. Darüber hinaus steht Betroffenen das Widerspruchsrecht (Art. 21 DSGVO) zu, insbesondere wenn die Verarbeitung auf einem berechtigten Interesse beruht. Zudem können sie unter bestimmten Voraussetzungen verlangen, dass über sie keine Entscheidung getroffen wird, die ausschließlich auf automatisierter Verarbeitung beruht, einschließlich Profiling (Art. 22 DSGVO), sofern keine gesetzlichen Ausnahmen greifen.
Wie muss die Transparenz gegenüber Betroffenen beim Scoring gesetzlich gestaltet werden?
Das Transparenzgebot gemäß Art. 13 und 14 DSGVO verpflichtet Unternehmen dazu, betroffene Personen umfassend und verständlich über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Im Kontext des Scorings bedeutet dies, dass die Betroffenen über die Art und Weise der Datenerhebung, die Herkunft der Daten, die Zwecke des Scorings, die verwendeten Datenarten sowie die gesetzlichen Grundlagen der Verarbeitung aufgeklärt werden müssen. Insbesondere muss erklärt werden, ob und inwiefern das Scoring automatisierte Entscheidungen beeinflusst und welche möglichen Folgen dies für die betroffene Person haben kann (z. B. Ablehnung eines Kreditvertrags). Die Unternehmen müssen außerdem die wesentlichen Kriterien und die Funktionsweise der eingesetzten Scoring-Modelle offenlegen, soweit dies nicht Geschäftsgeheimnisse verletzt. Diese Transparenz muss bereits zum Zeitpunkt der Datenerhebung und spätestens bei der ersten Kontaktaufnahme mit der betroffenen Person gewährleistet werden.
Welche Kontroll- und Sanktionsmöglichkeiten bestehen bei Verstößen gegen Scoring-Vorschriften?
Verstöße gegen datenschutzrechtliche Vorschriften beim Scoring werden von den zuständigen Aufsichtsbehörden überwacht. Die Datenschutzaufsichtsbehörden der Länder sowie der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sind befugt, Ermittlungen durchzuführen, Betroffenenbeschwerden nachzugehen und Kontrollen bei verantwortlichen Stellen durchzuführen. Bei festgestellten Verstößen können sie Maßnahmen wie die Anordnung zur Datenlöschung, die Untersagung bestimmter Verarbeitungsvorgänge oder die Auferlegung von Auflagen veranlassen. Zudem sind empfindliche Geldbußen vorgesehen: Nach Art. 83 DSGVO können Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens verhängt werden. Darüber hinaus steht betroffenen Personen unter Umständen ein Schadensersatzanspruch gegen das Unternehmen zu, wenn ihnen durch eine unzulässige Datenverarbeitung ein materieller oder immaterieller Schaden entstanden ist.
Welche Pflichten bestehen hinsichtlich der Aktualität und Richtigkeit der Daten beim Scoring?
Unternehmen, die Scoring-Prozesse einsetzen, sind dazu verpflichtet, ausschließlich sachlich richtige und aktuelle Daten zu verwenden. Diese Pflicht ergibt sich sowohl aus den allgemeinen Grundsätzen der Datenverarbeitung der DSGVO (Art. 5 Abs. 1 lit. d: „Richtigkeit der Daten“) als auch aus den spezielleren Regelungen in § 31 Abs. 1 BDSG. Fehlen gesicherte Informationen oder sind die Daten nachweislich überholt oder unrichtig, darf das Ergebnis des Scoring-Verfahrens nicht verwendet werden, um daraus verbindliche Entscheidungen zu treffen. In der Praxis bedeutet dies, dass Datenbestände regelmäßig überprüft, bei Bedarf berichtigt oder aktualisiert und veraltete oder unzutreffende Informationen gelöscht werden müssen. Auf Anforderung ist zudem zu dokumentieren, wie und wann die Daten geprüft und ggf. aktualisiert wurden. Werden fehlerhafte Daten verwendet und ergeben sich daraus nachteilige Folgen für Betroffene, besteht die Gefahr erheblicher rechtlicher Konsequenzen für das Unternehmen.
Gibt es besondere Anforderungen an die mathematisch-statistischen Verfahren beim Scoring?
Ja, § 31 Abs. 1 BDSG verlangt ausdrücklich, dass Scoring-Aussagen nur auf der Basis von anerkannten mathematisch-statistischen Methoden getroffen werden dürfen. Die eingesetzten Verfahren müssen wissenschaftlichen Standards genügen und nachvollziehbar sein, sodass sie objektiv bewertbar und überprüfbar sind. Es gilt das Prinzip der Nachvollziehbarkeit und Prüfbarkeit; daher müssen Unternehmen die entwickelten Modelle, deren Annahmen und verwendeten Variablen dokumentieren können und – gegenüber Aufsichtsbehörden – erläutern. Zentrale Anforderungen sind insbesondere die Validität (das Verfahren misst tatsächlich das, was es messen soll), die Relevanz der eingesetzten Datenpunkte (keine Diskriminierung aufgrund nicht sachbezogener Merkmale wie Herkunft, Geschlecht, Religion etc.) und die periodische Überprüfung des Modells auf seine „Treffgenauigkeit“. Kommt eine Überprüfung zu dem Ergebnis, dass das Verfahren nicht mehr den Standards genügt, muss das Scoring angepasst oder eingestellt werden.
In welchen Fällen ist die Einwilligung der betroffenen Person erforderlich?
Die Einwilligung der betroffenen Person ist insbesondere dann erforderlich, wenn eine Verarbeitung von besonders sensiblen personenbezogenen Daten (z. B. Gesundheitsdaten nach Art. 9 DSGVO) im Rahmen des Scorings erfolgen soll oder wenn keine anderweitige gesetzliche Grundlage für die Datenverarbeitung existiert. Eine Einwilligung muss stets freiwillig, spezifisch, informiert und unmissverständlich erfolgen. Das bedeutet, dass die Betroffenen klar und verständlich darüber informiert werden müssen, welche Daten zu welchen Zwecken verarbeitet werden und inwieweit ein Scoring-Verfahren eingesetzt wird. Dabei darf kein Zwang ausgeübt werden, und die Zustimmung muss jederzeit widerrufbar sein. Im Regelfall stützen sich Unternehmen jedoch auf das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO und nicht auf die Einwilligung – letztere wird insbesondere dann relevant, wenn Rechtsgrundlagen wie Vertragserfüllung oder gesetzliche Verpflichtung nicht greifen.
