Big Data, Scoring & Recht – Teil 1: Grundlagen

Mitautor: Christian Frerix, wissenschaftlicher Mitarbeiter*

Mit dem BDSG und neuen Technologien verhält es sich so, wie in dem Märchen vom Wettrennen zwischen Hase und Igel: Kommt der Gesetzgeber mit einer Regelung endlich zum Ziel, ist die neue Technologie schon lange da. Dass es dann möglicherweise schon einen weiteren Regelungsbedarf in diesem Bereich gibt, merkt er dabei erst später. So ähnlich sieht‘s auch beim Scoring aus. Hier hat der Gesetzgeber zwar erkannt, dass es etwas zu regeln gibt. So richtig passt diese Regelung aber – eigentlich – nur zum Kreditscoring. Dass es darüber hinaus noch andere Möglichkeiten des Scoring gibt und dass diese besser auch geregelt werden sollten, soll – wie bereits angekündigt und versprochen – im nachfolgenden Beitrag gezeigt werden. Da es dazu jede Menge zu schreiben gibt, die meisten aber wohl (verständlicherweise) nicht alles auf einmal genießen möchten, wird der Beitrag in zwei Teile gegliedert. Der erste Teil enthält dabei grundsätzliche Ausführungen zum Scoring und zum (externen) Scoring als Geschäftsmodell. Der zweite Teil befasst sich mit Fragen rund um den Einsatz in der Arbeitswelt.

[Und wer sich dem Thema lieber gänzlich fachlich, sprich juristisch, nähern möchte, dem sei der Aufsatz  Big Data Analysen & Scoring in der (HR-)Praxis (Fachaufsatz in der PinG, 01/16, S. 30) ans Herz gelegt.]

Was ist Scoring?

Der Begriff „Scoring“ wird nur in der Gesetzesüberschrift verwendet. Was genau darunter zu verstehen ist, sagt uns der Gesetzgeber aber nicht.  Grundsätzlich lässt sich sagen, dass das Scoring eine Form der Big Data Analyse ist. Die Bezeichnung „Big Data“ wird sehr unterschiedlich verwendet. Allgemein geht es dabei aber um riesige Datenmengen, die durch die Nutzung des Internets täglich entstehen. Diese Datenmengen werden von Unternehmen gespeichert, verarbeitet und analysiert. Das Scoring ist eine bestimmte Form dieser Analyse. Hierbei werden zunächst Datenmassen gesammelt und unter algorithmischer Verarbeitung ein Wahrscheinlichkeitswert (Scorewert) für ein bestimmtes zukünftiges – individuelles und/oder kollektives – Verhalten ermittelt. Dieser Wert kann dann für unternehmensbezogene Entscheidungen herangezogen werden. Ursprünglich wurde dieses Verfahren dazu eingesetzt, um anhand eines Wahrscheinlichkeitswertes die Kreditwürdigkeit von Kunden zu bestimmen und darauf basierend Entscheidungen über Kreditvergaben zu treffen (Kreditscoring). Mittlerweile wird dieses Verfahren auch zur Ermittlung von Werten in anderen Lebensbereichen eingesetzt.

Gibt es dafür eine Regelung?

Wie gesagt, wird zumindest der Begriff in der Gesetzesüberschrift des § 28b Bundesdatenschutzgesetz (BDSG) verwendet. Demzufolge muss diese Norm sich ja auch näher mit dem Scoring beschäftigen. Und genau hier liegt das erste Problem. Das BDSG stammt ursprünglich aus dem Jahr 1977, hatte seine letzte große Reform 1990 und verfügte seitdem über Erweiterungen. Eine tatsächliche Anpassung an die sich veränderten (Big Data) Technologien erfolgte jedoch nicht. Das Scoring wurde 2009 lediglich im Rahmen einer partiellen Novellierung in das BDSG eingefügt. Obwohl in der Überschrift zwar von „Scoring“ die Rede ist, scheint auf den ersten Blick nur das Kreditscoring gemeint. Das hat den einfachen Grund, dass zum Zeitpunkt der Regelung dem Gesetzgeber in erster Linie eben das Kreditscoring „Bauchschmerzen“ bereitete. Dabei ging man von einmal erstellten und nicht variierenden, gar selbstlernenden Algorithmen sowie von einer mehr oder minder klar zu umgrenzenden Datenbasis aus. Die Möglichkeiten der Daten-Analyse von unendlichen Datenmassen standen damals (noch) nicht im Focus. Das hat sich nun geändert. Die Gesetzeslage hat sich dagegen nicht geändert, so dass festzuhalten ist, dass es zwar eine Regelung zum Scoring gibt, diese aber möglicherweise nicht auf jede Form des Scoring übertragen werden kann.

Was sind das für Daten und woher kommen sie?

Die Vorschrift über das Scoring findet zunächst nur Anwendung, sofern personenbezogene Daten verarbeitet, genutzt oder erhoben werden (§ 27 BDSG). Personenbezogen sind alle Daten, die einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können (z.B. Name, Adresse, Twitter-Handle etc.). Darüber hinaus sagt uns das Gesetz, dass diese Daten nur dann zur Ermittlung eines Scorewertes genutzt werden dürfen, wenn sie aus allgemein zugänglichen Quellen stammen (§ 28b Nr. 2 i.V.m. §§ 28, 29 BDSG). Als allgemein zugängliche Quellen zählen Informationsquellen, die die Informationen an eine unbestimmte Anzahl von Personen vermitteln können und sollen. Das sind neben Zeitungen, Zeitschriften und Rundfunk ebenso Webseiten und auch soziale Netzwerke wie Facebook, XING oder Twitter. Wichtig ist nur, dass die Inhalte von jedem gesucht und abgerufen werden können, sie also gerade nicht durch Privatsphäreneinstellungen nur einem bestimmten Personenkreis zugänglich gemacht werden.

Wie kann Scoring als Geschäftsmodell genutzt werden?

Möchte ein Unternehmen einen Scorewert nutzen, so muss dieser natürlich erstmal ermittelt werden. Die Ermittlung könnte jedes Unternehmen theoretisch selbst vornehmen, indem es die Daten sammelt und anschließend auswertet („internes Scoring“). Da das aber sehr zeit- und äußerst kostenintensiv ist und in der Regel auch das IT-technische Know-How zur Erstellung der notwendigen komplexen Algorithmen fehlt, wird deshalb auf die Leistungen externer Scoring-Anbieter zurückgegriffen. Diese sammeln die Daten oder lassen sich diese von anderen Unternehmen, die allgemein zugängliche Daten für Dritte aggregieren und zur Auswertung bereitstellen (sog. Daten-Aggregatoren), übermitteln. Mit Hilfe eines eigens entwickelten Algorithmus wird aus diesen Daten ein Scorewert er- und dem anfragenden Kunden anschließend übermittelt („externes Scoring“). Eine Inanspruchnahme dieser Dienstleistung ist dabei nur möglich, sofern der Kunde dem Dienstleister mindestens ein personenbezogenes Datum übermittelt. Ist ja auch logisch, muss dieser doch wissen, für welche Bezugsperson oder -gruppe er einen Wert errechnen soll. Andererseits wird davon ausgegangen, dass der Scorewert selbst auch ein personenbezogenes Datum ist, da dieser ja gerade einer bestimmten Person(engruppe) auch tatsächlich zugeordnet werden kann.

Ist das externe Scoring als Geschäftsmodell zulässig?

Immer, wenn es um die Sammlung, Übermittlung, Erstellung oder Verarbeitung personenbezogener Daten geht, stellt sich die Frage, ob dies aus datenschutzrechtlicher Sicht überhaupt zulässig ist. Das BDSG geht nach wie vor vom Grundsatz des „Verbots mit Erlaubnisvorbehalt“ aus. Das bedeutet, dass das Erheben, Verarbeiten und Nutzen personenbezogener Daten einer verantwortlichen Stelle grundsätzlich verboten ist, es sei denn

–          eine Rechtsvorschrift erlaubt dies ausdrücklich oder ordnet es an oder

–          der Betroffene hat hierzu seine konkrete und freiwillige Einwilligung gem. § 4a BDSG erteilt.

Verantwortlichkeit

Als erstes könnte man auf den Gedanken kommen, dass externe Scoringdienste schon gar nicht verantwortlich sind, wenn sie die Daten im Auftrag des Kunden sammeln und verarbeiten (Auftragsdatenverarbeitung).  Nach § 11 BDSG wäre nur der Kunde als Auftraggeber für die Einhaltung der Vorschriften verantwortlich. Daneben könnte aber auch der externe Scoringdienst verantwortlich sein, wenn dieser zwar im Auftrag des Kunden handelt, dabei in eigenem Namen aber alle erforderlichen Entscheidungen selbst trifft (Funktionsübertragung). Die Verantwortlichkeit richtet sich also danach, ob der externe Dienstleister im Rahmen einer Auftragsdatenverarbeitung oder einer Funktionsübertragung handelt. Auch, wenn das beim Scoring umstritten ist, sprechen die besseren Gründe für die Annahme einer Verantwortlichkeit. Schließlich entscheidet allein der Scoringdienst, welche Daten er nach welchem Algorithmus verarbeitet und wodurch der Wert ermittelt wird. Damit ist er nach hier vertretener Ansicht auch Verantwortlicher im Sinne des BDSG.

Einwilligung oder Vorliegen einer gesetzlichen Grundlage?

Einwilligungen der betroffenen Personen werden seitens der externen Dienstleister nicht eingeholt. Abgesehen davon, dass das praktisch auch gar nicht möglich wäre, bräuchte man diese Einwilligung nicht, wenn das Gesetz dieses Handeln ausdrücklich erlauben würde. Da fällt uns doch wieder der anfangs zitierte § 28b BDSG ein. Dieser könnte eine solche Erlaubnisvorschrift sein.

Die erste Frage, die sich dabei stellt, ist, ob die Norm hier überhaupt passt, wenn sie womöglich nur für das Kreditscoring und unter anderen („älteren“) technischen Bedingungen geschaffen wurde. Ausgehend vom eingangs Gesagten wäre die Folge einer Nicht-Anwendbarkeit, dass wir weder eine Einwilligung noch eine gesetzliche Erlaubnisvorschrift hätten. Und das hieße, dass das Geschäftsmodell mit dem BDSG nicht vereinbar wäre. Dagegen spricht aber, dass der Gesetzgeber jedenfalls einen speziellen Fall des Scoring – nämlich das Kreditscoring – geregelt hat. Wäre ihm damals schon bewusst gewesen, dass diese Form der Datenverarbeitung in Zukunft auch in anderen Bereichen möglich ist, dann hätte er wohl eine Norm geschaffen, die eindeutig(er) für alle Bereiche (allgemein) gilt. Gräbt man in den Tiefen der der Gesetzesbegründung ergibt sich schließlich auch, dass der Gesetzgeber zwar maßgeblich das Kreditscoring im Sinn hatte, aber andere Scoring-Verfahren damit nicht vom Regelungsgegenstand ausschließen. Ziel des Gesetzgebers gerade im technologischen Bereich ist es auch (sollte es sein, *hust), entwicklungsoffene Gesetze zu schaffen. Etwas Spezielles zu regeln, ohne dabei das Allgemeine regeln zu wollen, macht ja irgendwie auch keinen Sinn. Lange Rede kurzer Sinn: § 28b BDSG gilt nicht nur fürs Kreditscoring. (Wem das jetzt juristisch besehen alles viel zu kurz ist: Bitte schön, hier geht es zum Fachaufsatz Big Data Analysen & Scoring in der (HR-)Praxis – Fachaufsatz in der PinG, 01/16, S. 30)

Da wir jetzt wissen, dass § 28b BDSG generell gilt, soll nun geklärt werden, ob dieser auch als Erlaubnisvorschrift taugt. Dafür müssen wir erst einmal klarstellen, was dort überhaupt geregelt ist. Danach darf der Scorewert nur erhoben werden zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen. Als Beispiel für ein derartiges Vertragsverhältnis sei an dieser Stelle nur das Arbeitsverhältnis genannt, auf das im Folgenden noch näher eingegangen wird. Betroffener wäre in diesem Fall der Arbeitnehmer oder ein potentieller Bewerber. Weiter müssen die zur Berechnung des Scorewertes genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sein. Nach überwiegender Auffassung ist damit jedes Verfahren gemeint, bei dem im Nachhinein die Erheblichkeit der Daten mathematisch-statistisch nachgewiesen werden kann. Wann die Daten erheblich sind, ist – mal wieder – umstritten. Um es jedoch kurz zu machen: Ausgehend vom Sinn und Zweck des Scorings, der ja darin besteht, aus einer unüberschaubaren Datenmasse einen Wert zu schaffen, müssen auch all diese Daten, aus denen der Algorithmus eine Wahrscheinlichkeit berechnet, als erhebliche Daten im Sinne der Norm angesehen werden. Als weitere Voraussetzung gilt, dass nicht ausschließlich Anschriftendaten zur Wertermittlung verwendet werden dürfen. Werden dagegen neben anderen auch Anschriftendaten genutzt, so ist der Betroffene darüber zu informieren.

Jetzt fehlt nur noch ein kleines Stück zum Glück. Wir wissen jetzt, dass § 28b BDSG auch das allgemeine Scoring regelt und was dort genau geregelt ist. Leider reicht das allein aber noch nicht, da § 28b BDSG selbst nichts darüber aussagt, wann die Speicherung und Nutzung der zur Wertermittlung genutzten Daten erlaubt ist. Es wird nur geregelt, ob und wann bereits erhobene Daten zum Scoring verwendet werden können. Es wird also davon ausgegangen, dass die Daten, die verwendet werden, bereits rechtmäßig erhoben wurden. Wann Daten aber rechtmäßig erhoben werden, sagen uns erst die §§ 28, 29 BDSG. Erkennbar ist das daran, dass § 28b Nr. 2 auf §§ 28, 29 BDSG verweist. Im Falle des externen Scoring ist dabei insbesondere § 29 BDSG von Bedeutung, der das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen personenbezogener Daten zum Zweck der Übermittlung durch Auskunfteien regelt. Was Auskunfteien sind, sagt uns die Gesetzesbegründung. Unter einer Auskunftei ist grundsätzlich ein Unternehmen zu verstehen, das unabhängig vom Vorliegen einer konkreten Anfrage geschäftsmäßig bonitätsrelevante Daten über Unternehmen oder Privatpersonen sammelt, um sie bei Bedarf seinen Geschäftspartnern für die Beurteilung der Kreditwürdigkeit des Betroffenen gegen ein Entgelt zugänglich zu machen. Nach dem zuvor Gesagten kommt es auf eine Bonitätsrelevanz aber nicht an. Schließlich kann man nicht das allgemeine Scoring als von § § 28b BDSG erfasst ansehen und dann die Nutzung des Geschäftsmodells nur den Bonitäts-Auskunfteien (also solchen, die ausschließlich Bonitätsdaten sammeln) gestatten. Das wäre widersprüchlich, so dass von § 29 BDSG auch Auskunfteien erfasst sein müssen, die keine Bonitätsdaten sammeln. Damit sind also sowohl Dritte als auch der externe Scoringdienst als Auskunfteien anzusehen, wenn die in der Definition genannten Voraussetzungen (einer Bonitätsrelevanz braucht es nicht) vorliegen. Zulässig ist die Tätigkeit derartiger Auskunfteien aber nur, wenn die Daten allgemein zugänglicher Quellen entstammen und kein schutzwürdiges Interesse des Betroffenen der Erhebung, Speicherung oder Veränderung der Daten entgegensteht.

Zusammenfassend lässt sich also sagen, dass das externe Scoring auch außerhalb des Kreditwesens betrieben werden kann, wobei sich die Ermittlung eines Wahrscheinlichkeitswertes auch in diesen Fällen an § 28b BDSG messen lassen muss. Auch, wenn es einiger Argumentation bedarf, kann nach hier vertretener Ansicht unter Einhaltung der Datenschutzvorschriften dieses Geschäftsmodell zulässigerweise betrieben werden.

Fazit

Denjenigen, denen das alles auch unter größter Anstrengung vielleicht beim ersten Lesen nicht so klar wurde sei gesagt, dass das nicht an Ihnen liegt. Die Gesetzeslage ist hier einfach unklar und deshalb sind viele Punkte auch diskutabel. Den ersten und sicherlich auch schwieriger zu verstehenden Teil haben Sie ja auch schon geschafft. Trotzdem sei dieser nochmals kurz zusammengefasst. Das Scoring hat als eine Form der Big Data Analyse zwar Eingang ins Gesetz gefunden, jedoch hatte der Gesetzgeber danach noch eine gänzlich andere Idee von von Art und Möglichkeiten des Scoring und dachte eben maßgeblich an das Kreditscoring. Nutzt man das Scoringverfahren in anderen Bereichen, ist also nicht klar, ob das auch von § 28b BDSG erfasst sein soll. Die besseren Argumente sprechen hier jedoch für eine Anwendbarkeit. Datenschutzrechtlich relevant wird das Ganze, weil es um die Sammlung, Nutzung und Herstellung personenbezogener Daten geht, die nur aus allgemein zugänglichen Quellen stammen dürfen. Bietet man als externer Dienstleister die Erstellung von Scorewerten geschäftsmäßig an, so ist man neben dem Kunden für die Einhaltung der Vorschriften des BDSG verantwortlich. Auf Grund des gesetzlichen Verbots mit Erlaubnisvorbehalt heißt das, dass Daten nur mit Einwilligung oder auf Grundlage einer gesetzlichen Vorschrift genutzt werden dürfen. Da es in der Regel keine Einwilligung gibt, musste hergeleitet werden, warum § 28b iVm §§ 28,29 BDSG als gesetzliche Grundlage dem externen Scoring nicht entgegensteht. Das externe Scoring kann so zulässig als Geschäftsmodell betrieben werden, sofern die geltenden Datenschutzvorschriften berücksichtigt werden. Ob das externe Scoring auch mit der Arbeitswelt vereinbar ist, lesen Sie im zweiten Teil.

In diesem Sinne,

bis dahin!

*Der Jurist Christian Frerix promoviert derzeit an der Universität Hamburg und war daneben bis November 2017 in der Anwaltskanzlei Diercks (vormals: im Hamburger Büro von Dirks & Diercks Rechtsanwälte) als Jurist tätig.