Mangelnde Kontrolle bei Auskunfteien: Wie Schufa und Co. ihre Gutachter selbst bezahlen

Auskunfteien bewerten anhand geheimer Berechnungen die Kreditwürdigkeit von Verbrauchern. Behörden sollen die Schufa und andere Firmen kontrollieren. Doch die geben die Gutachten dazu selbst in Auftrag.

Foto: 

Jens Kalaene/ dpa

Datenschützer kritisieren Mängel bei der Kontrolle von Wirtschaftsauskunfteien wie der Schufa. Laut einem Bericht des Bayerischen Rundfunks (BR) werden wichtige Gutachten von den Auskunfteien selbst in Auftrag gegeben. Dabei gehe es um die Überprüfung der sogenannten Score-Berechnungen.

Anhand geheimer Algorithmen erstellen Auskunfteien Kreditprofile von Verbrauchern. (Lesen Sie hier, wie die Schufa arbeitet und welchen Einfluss sie hat.) Datenschutzbehörden sollen die Verfahren zur Score-Berechnung überprüfen. Laut BR geschieht dies zu einem wesentlichen Teil auf Grundlage von Gutachten, die Auskunfteien wie die Schufa selbst bei Universitäten in Auftrag geben. Demnach wählen die Auskunfteien die Institute aus, beauftragen und bezahlen sie.

Datenschützer kritisieren diese Praxis: "Diese Gutachten sollen unabhängig sein, werden aber von den Auskunfteien bezahlt. Natürlich sehe ich da einen Interessenkonflikt", sagte der frühere Datenschutzbeauftragte des Landes Schleswig-Holstein, Thilo Weichert, dem BR.

Das Projekt OpenSchufa

Die beiden NGOs AlgorithmWatch und die Open Knowledge Foundation rufen mit der Initiative OpenSchufa zur Datenspende auf. Sie wollen möglichst viele Schufa-Auskünfte sammeln, um mehr über das Schufa-Scoring herauszufinden. Datenjournalisten des Bayerischen Rundfunks und des SPIEGEL werden die Daten anschließend anonymisiert auswerten.

In den Gutachten zum Scoring bewerten Wissenschaftler laut BR, ob die eingehenden Kriterien eine Aussage über die Kreditwürdigkeit einer Person erlauben. Demnach sind auch andere Auskunfteien wie Crif Bürgel, Creditreform oder Infoscore Consumer Data GmbH Auftraggeber für Gutachten, die ihre eigene Arbeit beurteilen sollen. Die Schufa teilte in einer Stellungnahme mit, dass sie Wert darauf lege, dass die beauftragten Institute unabhängig arbeiten.

Foto: SPIEGEL ONLINE

Der Landesdatenschutz Hessen, der neben der Schufa auch andere Auskunfteien beaufsichtigt, rechtfertigt laut BR die aktuelle Gutachten-Praxis. Begründung der Behörde: Sie könne im Zweifel ein eigenes Gutachten beauftragen und bezahlen. Bisher sei dies nicht erforderlich gewesen, sagte ein Behördensprecher dem BR.

Der Landesdatenschutz Nordrhein-Westfalen, der für die Auskunftei Creditreform zuständig ist, teilte mit, die gesetzliche Pflicht werde zwar durch die derzeitige Gutachten-Praxis erfüllt. Die Datenschutzbehörde räumte gegenüber dem BR aber ein, ihr fehle die erforderliche Fachkunde, um wichtige Aspekte bewerten zu können. "Wir können die Gutachten damit nur auf Plausibilität prüfen", sagte ein Sprecher der Behörde. "Für die externe Vergabe eines Prüfungsauftrags fehlen die finanziellen Mittel."

Initiative will Schufa-Formel knacken - und jeder kann mitmachen

Die beiden Nichtregierungsorganisationen AlgorithmWatch und die Open Knowledge Foundation wollen mit der Initiative OpenSchufa den Algorithmus der Schufa offenlegen. Sie sammeln Schufa-Auskünfte, um mehr über das Schufa-Scoring herauszufinden. Bislang haben mehr als 20.000 Menschen im Rahmen des Projekts eine kostenlose Selbstauskunft beantragt. Nun startet das Projekt in die nächste Phase: Wer mit seinen Daten das Projekt unterstützen möchte, kann über ein Upload-Portal seine Schufa-Auskunft hochladen. Datenjournalisten des SPIEGEL und des Bayerischen Rundfunks werden die Daten anschließend auswerten.

Sie wollen spenden? Das passiert mit Ihren Daten:

Auf www.openschufa.de kann jeder seine Schufa-Auskunft spenden, indem er Fotos oder Scans der Auskunft in der Anwendung hochlädt. Diese Fotos oder Scans werden über das Mobiltelefon oder den Rechner übermittelt. Relevant ist dabei die Auskunft, die von der Schufa nach Bundesdatenschutzgesetz §34 in Briefform versendet wird und aus mindestens vier DIN A4-Seiten besteht.

Bis auf die erste und die letzte Seite sind alle Seiten der Auskunft für die Datenspende relevant. Es sollen also die Seiten mit den Tabellen und die vorletzte Seite hochgeladen werden, auf der in einem Fließtext einige Angaben über Anfragen von Banken und Kreditbewilligungen stehen können. Nicht benötigt werden die erste Seite, auf der Name und Adresse stehen, und die letzte Seite. Diese können also weggelassen oder geschwärzt werden, was ebenfalls innerhalb der Anwendung möglich ist.

Der Fragebogen soll wichtige Informationen für die Analyse des Scorings und seiner Auswirkungen liefern. Dafür werden die Teilnehmer der Datenspende gebeten, möglichst viele Fragen zu ihrer persönlichen Situation zu beantworten. Beispielsweise wird nach sogenannten Negativmerkmalen gefragt, die dazu führen können, dass jemand keinen Kredit mehr bekommt. Hier kann der Fragebogen wichtige Hinweise zum Abgleich der Daten mit der Auskunft geben.

Die Daten der Fotos oder Scans sowie der Fragebogen-Antworten werden nach dem Absenden und der Zustimmung zur Datenschutzerklärung des Users über eine verschlüsselte Verbindung (https) auf einen Server hochgeladen. Dieser befindet sich in Frankfurt und läuft auf den Account der NGO AlgorithmWatch gGmbH. Die Daten werden regelmäßig von AlgorithmWatch vom Server heruntergeladen (sichere Verbindung). Dann werden die Bilder auf lokalen Rechnern (offline) per Schrifterkennung (OCR) maschinenlesbar gemacht.

Die maschinenlesbaren Daten werden lokal gespeichert und per PGG verschlüsselt. Diese verschlüsselten Archive werden an die NGO Open Knowledge Foundation OKF sowie die Redaktionen (SPIEGEL ONLINE, Bayerischer Rundfunk) via USB-Stick weitergeben. Spricht aus datenschutzrechtlicher Sicht nichts dagegen, werden die maschinenlesbaren Daten öffentlich zur Verfügung gestellt.

Die maschinenlesbaren Daten bleiben auf unbestimmte Zeit für Forschungszwecke und für journalistische Auswertung bei AW, bei OKF und den Redaktionen gespeichert. Wer seine Daten spendet, erhält nach dem Upload eine ID (zufällig erzeugt), die er sich speichern kann. Mit dieser ID kann er sich an AlgorithmWatch wenden, wenn er seine Daten erhalten oder löschen lassen möchte. AlgorithmWatch speichert als einziges Meta-Datum, wann die Daten übertragen wurden. IP-Adressen werden nicht gespeichert.

Verbraucherschützer kritisieren die Informationspolitik von Auskunfteien. Diese müssen Verbrauchern mitteilen, welche Daten sie über sie speichern - doch wie sie daraus eine Bonitätsnote errechnen, dürfen die Unternehmen für sich behalten.

Mehr zum Thema

Umstrittene Bonitätsbewertung: Wie Sie die geheime Schufa-Formel knacken können Von Maria Marquart und Anna van Hove

Disclaimer: Der Schufa-Mitbewerber Arvato gehört zum Bertelsmann-Konzern. Dessen Tochter, der Zeitschriftenverlag Gruner + Jahr ist mit 25,5 Prozent am SPIEGEL beteiligt. SPIEGEL ONLINE berichtet natürlich trotzdem redaktionell unabhängig.

Die Bertelsmann-Stiftung gehört zudem zu den Unterstützern der NGO AlgorithmWatch. Das Open-Schufa-Projekt soll aber davon unabhängig mit einem Crowdfunding finanziert werden. Die Idee hinter dem Projekt entstand als Kooperation zwischen AlgorithmWatch und der NGO Open Knowledge Foundation. Ziel ist es, zunächst den Score zu untersuchen, der den größten gesellschaftlichen Einfluss in Deutschland hat.

mmq