Kreditscoring – Bonitätsanalysen und Datenmissbrauch
Kreditwürdig? Millionenfach werden Bürger_innen, die online einkaufen oder per Rate bezahlen wollen, von Software auf ihre Zahlungsfähigkeit überprüft – teils mit diskriminierenden Methoden. Text: Lise Kuttin
Illu: iStock
Die Branche werkt still und unauffällig. Die meisten Menschen merken es gar nicht, wenn sie mit ihr in Berührung kommen. Das tun sie aber öfter als gedacht. Die Rede ist von sogenannten Kreditscoring-Firmen, die Kund_innen für Unternehmen auf ihre Kreditwürdigkeit überprüfen. Allein in Österreich soll es laut Brancheninsider_innen jährlich zu einer zweistelligen Millionenzahl an Abfragen kommen. Die Firma Bisnode Widata prahlt etwa damit, Finanzprofile zu «sieben Millionen Privatpersonen in Österreich» anzubieten. Sichtbar wird das Werk der Scorer nur, wenn etwas nicht passt: Wenn der oder die Kundin das Geld bei einem Onlinekauf plötzlich vorab überweisen muss oder die Möglichkeit einer Ratenzahlung ausgeschlossen wird.
Prinzipiell machen die Unternehmen nichts anderes als die Bankberaterin, die überlegt, ob sie Herrn B. einen Kredit für den Hausbau gewähren kann. Die Bankangestellte betrachtet die aktuellen Finanzmittel des Kreditstellers, dessen berufliche und familiäre Situation und wägt ab, ob dieser den geliehenen Betrag samt Zinsen zurückzahlen kann. Auch die Bonitäts-Branche greift auf gewisse Eigenschaften der Kund_innen zurück, um sie zu analysieren. Das tut sie allerdings nicht im persönlichen Gespräch wie bei der Bank, sondern fast vollständig automatisiert mit einem Computer-Programm. Dazu kommt, dass sie dabei auf dubiose Daten zugreifen soll, die in einer seriösen Analyse nichts zu suchen haben.
Falscher Vorname?
Welche Informationen genau in derartige Kreditanalysen einfließen, ist bislang geheim. Die Arbeiterkammer gab 2014 eine Studie über Kreditscoring in Österreich in Auftrag. Darin ist die Rede von «hochgradig intransparenten Algorithmen» und «potenziell fehleranfälligen Scorings». So greifen diese Unternehmen möglichst viele verschiedene Daten ab, die aber über die Zahlungsfähigkeit wenig aussagen. Ein Beispiel sind etwa mehrfache Adresswechsel, die als Risikomerkmal gelten – denn der oder die Betroffene könnte dadurch die Rechnungsadresse verschleiern wollen. Teils soll diskriminierend vorgegangen werden, etwa durch eine Beurteilung des Vornamens. Ein «Max» würde hier wohl besser als ein «Mohammed» bewertet werden.
Oftmals bestehen enge Firmennetzwerke, die verschiedene Branchen bedienen und miteinander Daten austauschen. Einer der größten Anbieter_innen ist die deutsche Arvato, die neben unterschiedlichen Scoring-Varianten auch das Verfolgen von Nutzer_innenbewegungen im Internet anbietet und Kund_innenbindungsprogramme für große Konzerne betreibt, etwa Miles & More für die Lufthansa. Arvato ist auch bei Versicherungen und im Gesundheitssektor aktiv.
Die Branche dementiert, dass diskriminierende Geschäftspraktiken stattfinden oder Daten missbraucht werden. Bei Konsument_innenschützer_innen und der Datenschutzbehörde häufen sich jedoch die Fälle. Zahlreiche Nutzer_innen haben ausführlich dokumentiert, dass sich ihr schlecht eingestuftes Kreditprofil nur in wenigen Punkten, wie Name oder Adresse, von besser eingestuften Profilen unterscheidet.
Obwohl die Problematik seit Jahren bekannt ist, gab es in Österreich bislang keine Initiative der Regierung, diese zu bekämpfen. Dabei sind sowohl die Anzahl der Abfragen – durch den Onlinehandel oder den verstärkten Einsatz von Ratenzahlungen, um finanzschwache Kund_innen zu locken – als auch die Menge der verwendeten Daten rasant angestiegen. Die Situation dürfte sich weiter verschärfen. Schon jetzt munkeln Branchenkenner_innen, dass etwa soziale Medien wie Facebook von Bonitätsprüfer_innen gescannt werden. Ein harmloses Urlaubsfoto aus einem Kasino könnte so für die Verweigerung des Kredits sorgen.
Dem will die Europäische Union einen Riegel vorschieben: Ab 25. Mai gilt die Datenschutzgrundverordnung, die auch das Geschäft der Kreditscorer erschwert. Nutzer_innen haben nun das Recht, zu erfahren, nach welcher Logik ihre Daten verarbeitet werden. Die Bonitätsprüfer_innen können sich also nicht mehr auf das Geschäftsgeheimnis und einen «Algorithmus» ausreden, sondern müssen zumindest oberflächlich verraten, wie sie Kreditscores berechnen.
Außerdem dürfen Bürger_innen nun erfahren, welche Daten über sie verarbeitet werden und aus welchen Quellen diese stammen. Damit könnte der Austausch von einzelnen Teilen der großen Firmengeflechte im Bereich Bonität, Versicherungen und Kund_innenkarten transparent gemacht werden. Dazu kommt eine stärkere Rechtsdurchsetzung beim Löschen oder Korrigieren von Datensätzen.
Neue Datenschutzregeln.
Abzuwarten bleibt aber, mit welcher Härte Behörden die Credit Scorer untersuchen. Zwielichtigen Praktiken sind schon jahrelang bekannt. So hatte ein großer österreichischer Anbieter etwa Justizbeamt_innen bestochen, um an sensible Daten wie Exekutionsaufträge heranzukommen. 23 Beamt_innen spielten mit, sie lieferten mehr als zwei Millionen Datensätze.
Die Kreditscoring-Unternehmen dürften sich gegen zu viel Transparenz zu Wehr setzen, immerhin steht ihr Geschäftsmodell auf der Kippe. Es ist also nach dem Inkrafttreten der EU-Datenschutzgrundverordnung mit jahrelangen Gerichtsprozessen zu rechnen. Noyb.eu, die neue Nichtregierungsorganisation von Datenschützer Max Schrems, hat die deutschen Bonitätsprüfer_innen der Schufa, eines jener privatwirtschaftlichen Unternehmen, die Kreditratings von Kund_innen für Unternehmen bereitstellen, bereits als ein mögliches Klagsziel genannt.
Insgesamt begrüßen Datenschützer_innen die neuen EU-weit gültigen Regeln, da sie ihnen deutlich mehr Handhabe als bislang geben. An den USA wird beispielsweise sichtbar, welche Blüten der freie Handel mit Daten treibt. Dort ist der Verkauf von sensiblen Informationen wie Kreditkartendaten an der Tagesordnung. Dazu kommt die enorme Masse an Daten, die bei jedem Mausklick gesammelt wird. Das Wall Street Journal untersuchte bereits 2010, welche Daten die beliebtesten Webseiten an Dritte lieferten. Mit einigen wenigen Ausnahmen (etwa Wikipedia) gab es bei den weltweit größten Internetseiten einen Datenabfluss an eine zweistellige Anzahl von Services. Das Wörterbuch dictionary.com informierte sage und schreibe 234 (!) Drittpartner_innen über Infos wie Suchbegriffe, IP-Adresse, Land und das benutzte Gerät der Webseiten-Besucher_innen.
Auch der Facebook-Skandal der vergangenen Wochen bewies eindrucksvoll, wie rasch sich Daten von Millionen Menschen völlig legal absaugen lassen. Nutzer_innen hatten einer Quiz-App den Zugriff auf ihre Daten sowie Informationen zu all ihren Freund_innen erlaubt, wodurch Profile von bis zu neunzig Millionen Menschen gescannt worden sind.
Die gesammelten Datenmengen sind so groß, dass sie nicht mehr manuell verarbeitet werden können. Man stelle sich vor, ein Bankberater müsste nicht nur Einkommens- und Lebenssituation der Kreditstellerin analysieren, sondern auch deren Fotoalben, besuchte Webseiten und erworbene Objekte. Diese Masse an Informationen kann nur maschinell ausgewertet werden. Dabei herrscht oft der Irrglaube vor, Software wäre «neutral» und somit fair – tatsächlich ist sie nur so fair wie ihre Entwickler_innen. Programmieren diese, dass Pluspunkte für Vornamen aus dem bildungsbürgerlichen Milieu vergeben werden, diskriminiert die Maschine automatisch. Dazu kommt, dass die Orientierung an Zahlen und Fakten keinen Raum für Nuancen lässt. Einem oder einer menschlichen Kreditgeber_in kann man erklären, dass eine Rechnung nicht bezahlt wurde, weil man sich im Streit mit dem Rechnungssteller befindet, dessen Leistung unzureichend war. Die Software erkennt das nicht.
Automatisierte Entscheidung.
Die Datenschutzgrundverordnung sieht hier vor, dass Betroffene von «automatisierten Entscheidungen» das Recht haben, die «Einwirkung einer Person» zu verlangen, um ihre eigenen Standpunkte darlegen zu können. Prinzipiell sollen automatisierte Entscheidungen minimiert werden, für deren Durchführung ist die «ausdrückliche Einwilligung» von Betroffenen notwendig. Wer sich aber nur eine Ratenzahlung leisten kann, hat wohl keine andere Wahl, als dem automatisierten Ermitteln seiner Bonität zuzustimmen.
Die große Frage ist, ob die Datenschutzgrundverordnung sich dem massiven Trend hin zu personalisierten, durch Daten generierten Individualangeboten entgegenstemmen kann. Die Bonitätsprüfungsbranche lieferte schon in den vergangenen Jahren einen Vorgeschmack auf diese «schöne neue Welt». Es könnte nicht mehr lange dauern, bis Gesundheitsversicherungen günstige Tarife mit einem Zugriff auf die Daten von Fitnessapps und Schrittzählern koppeln. Dasselbe gilt für Autoversicherungen, die den Bordcomputer anzapfen möchten.
Den Trend erkennen auch die großen IT-Firmen, die sich für dieses lukrative Einnahmefeld rüsten. So heißt es im Silicon Valley schon länger, dass Facebook und Google einen Einstieg in die Versicherungsbranche überlegen. Sie könnten etwa spezielle Datensätze für Versicherungsunternehmen bereitstellen. Und auch die Banken lauern schon. Dann könnten Algorithmen künftig über weit mehr entscheiden als über eine Onlinebestellung, die (nicht)vorab bezahlt werden muss.
