Entscheiden meine Daten darüber, ob ich einen Kredit bekomme? Tracking, Scoring und das neue EU-Datenschutzgesetz
Tracking und Scoring kann für Verbraucherinnen und Verbraucher nachteilig sein, ist aber rechtlich in gewissem Rahmen möglich. Marit Hansen, Landesbeauftragte für Datenschutz in Schleswig-Holstein, erläutert im Interview, was sie vom neuen EU-Datenschutzgesetz für den Schutz von Verbrauchern erwartet.
Marit Hansen ist Landesbeauftragte für Datenschutz in Schleswig-Holstein. Als Informatikerin interessiert sie sich u.a. für Folgen neuer Technologien und für eingebauten Datenschutz. Foto (c): Markus Hansen/ULD.
Wann ist Tracking für mich als Verbraucher gut, und wann ist es problematisch?
Nachverfolgt werden kann okay sein, wenn ich personalisierte Dienste haben möchte. Generell ist Tracking aber ein Risiko, weil man selten wirklich weiß, was für Informationen zusammengesammelt werden, was ausgewertet wird – und wie nachher das Resultat auf einen einwirkt. Dass das sogar manipulierend wirken kann, ist mittlerweile allgemein akzeptiert.
Manche Scoring-Anbieter versprechen, man könne mit seinem Verhalten zeigen, dass man verlässlich ist und dadurch etwa Zugang zu Krediten bekomme, die man sonst nicht bekäme. Was halten Sie davon?
Das ist ein interessantes Argument. Erst einmal wäre wichtig zu wissen, was genau jemanden kreditwürdig erscheinen lässt. Und es stellt sich die Frage, was passiert, wenn sich jemand anders verhält, weil er getrackt wird. Das kann schwere Folgen für unsere Gesellschaft haben. Etwa, wenn man nicht auf eine Demo geht, weil man nicht weiß, wie sich das auf die Kreditwürdigkeit auswirken würde. Das darf nicht sein. Wenn man so ein Verfahren hätte, dann bräuchte es objektive, klare, nachvollziehbare Kriterien.
Welche Scoring-Methoden dürfen Anbieter in Deutschland auf der Grundlage von Daten aus sozialen Netzwerken anwenden?
Wenn man etwa aus meinen Kontakten darauf schließen will, wie kreditwürdig ich bin, dann ist das vergleichbar mit der Wohngegend, die als Faktor in der Bewertung meiner Kreditwürdigkeit nicht überhand nehmen darf. Nicht, dass es von den Nachbarn abhängig ist, ob ich kreditwürdig bin oder nicht. Bei der Wohngegend ist in Deutschland gesetzlich klar: Das darf nicht die Hauptrolle spielen.
Im Fall von öffentlichen Daten darf rechtlich gesehen eine ganze Menge ausgewertet werden. Aber wenn so etwas wie meine Kontakte bei Facebook eine Auswirkung auf meine Kreditwürdigkeit haben, dann ist das überhaupt nicht erwartungskonform. Deshalb ist es hochproblematisch.
Wie schützt mich die Datenschutz-Grundverordnung vor Nachteilen durch Scoring?
Hier spielt möglicherweise das Verbot eine Rolle, nachdem ein Anbieter nicht vollautomatisch über Menschen entscheiden darf, wenn das Ergebnis der Entscheidung rechtlich bindend oder ähnlich bedeutsam für die Betroffenen wäre. Aber dieser Punkt ist für die Praxis noch nicht völlig geklärt. Die Frage, was mit öffentlich zugänglichen Daten gemacht werden darf, die jemand bewusst selbst veröffentlicht hat, ist auch noch nicht ausreichend diskutiert.
In beiden Punkten geht es um eine Abwägung zwischen den Rechten und Freiheiten der Betroffenen und solchen Faktoren wie den berechtigten Interessen der Anbieter. Es ist noch offen, was in welchen Fällen überwiegen wird.
Datenschutz-Grundverordnung Die europäische Datenschutz-Grundverordnung (DSGVO) regelt erstmals einheitlich, wie personenbezogene Daten von EU-Bürgern verwendet werden dürfen. Sie tritt an die Stelle unterschiedlicher Datenschutzgesetze der EU-Staaten. In manchen Bereichen sind weiterhin nationale Regelungen möglich. Die Regelungen gelten vollständig seit dem 25. Mai 2018. Viele der Regelungen orientieren sich am Datenschutz, der in Deutschland bereits galt, andere sind neu.
zum Glossar
Kann man sich solchem Tracking und Scoring eigentlich noch entziehen?
Ich bin der Meinung, man müsstesich solchen Beobachtungen und Bewertungen auch entziehen können. Gerade dann, wenn man zum Beispiel auf andere Weise nachweist, dass man kreditwürdig ist, oder gar nichts in diesem Bereich in Anspruch nehmen will. In beiden Fällen wäre es überhaupt nicht erforderlich, dass man getrackt wird. Die Realität sieht leider anders aus.
Im neuen EU-Datenschutzrecht gibt es die Anforderung, dass Onlinedienste und andere Angebote so gestaltet sein müssen, dass die Privatsphäre der Nutzerinnen und Nutzer bestmöglich geschützt wird, das Prinzip der privacy by design. Was erwarten Sie davon?
Ich gehe davon aus, dass sich die Angebote nicht sofort am Stichtag des Inkrafttretens des Gesetzes geändert haben werden, aber dass es langfristig einen starken Hebel darstellen wird, um Verbraucher besser zu schützen.
Die Verpflichtung zu privacy by design enthält eine Reihe von Bedingungen, die zunächst wie Einschränkungen wirken. Ein Anbieter muss sich unter anderem den Stand der Technik angucken, den Umfang der eigenen Datenverarbeitung, was es kostet, wenn er datenschutzfreundliche Technik einsetzt, und so weiter. Er könnte eigentlich immer relativ einfach eine Begründung finden, warum er keinen besseren Datenschutz einbaut.
Aber das Ganze ist nicht als eine Liste möglicher Ausreden zu verstehen. Der Anbieter muss vielmehr dokumentieren, dass er sich damit beschäftigt hat. Diese Dokumentation muss nachvollziehbar sein; sie schafft Transparenz und Vergleichbarkeit zwischen Anbietern. Wenn der Stand der Technik etwa besagt, dass Nutzerdaten in einem bestimmten Zusammenhang problemlos pseudonymisiert werden können, gibt es für einzelne Anbieter kaum noch eine legitime Begründung, das nicht zu tun.
Neu ist auch das Prinzip datenschutzfreundlicher Voreinstellungen (privacy by default). Was bedeutet das?
Durch Voreinstellungen darf nicht mehr mit den Daten gemacht werden, als für ein Angebot nötig ist. Das gilt zum Beispiel für die Menge der gespeicherten Daten oder für die Frage, wie lange die Daten aufbewahrt werden. Das kann bedeuten, dass sehr viele Daten gar nicht mehr den Anbieter erreichen. Es sei denn, sie sind für das Angebot wirklich erforderlich. Eine Online-Untersuchung im Bereich der Telemedizin wäre ziemlich witzlos, wenn man nicht ein paar gesundheitsbezogene Daten hergibt.
Aber für viele andere Dinge, etwa beim normalen Einkauf, wäre es überhaupt nicht nötig, dass zum Beispiel Tracking-Daten gespeichert und ausgewertet werden. Das kann aus Bequemlichkeit von mir gewollt sein, zum Beispiel für eine Kaufhistorie, aber in der Voreinstellung für alle wäre das ausgeschaltet.
Tracking und Scoring kann für Verbraucherinnen und Verbraucher nachteilig sein, ist aber rechtlich in gewissem Rahmen möglich. Marit Hansen, Landesbeauftragte für Datenschutz in Schleswig-Holstein, erläutert im Interview, was sie vom neuen EU-Datenschutzgesetz für den Schutz von Verbrauchern erwartet.
Als Informatikerin interessiert sie sich u.a. für Folgen neuer Technologien und für eingebauten Datenschutz. Foto (c): Markus Hansen/ULD.
Wann ist Tracking für mich als Verbraucher gut, und wann ist es problematisch?
Nachverfolgt werden kann okay sein, wenn ich personalisierte Dienste haben möchte. Generell ist Tracking aber ein Risiko, weil man selten wirklich weiß, was für Informationen zusammengesammelt werden, was ausgewertet wird – und wie nachher das Resultat auf einen einwirkt. Dass das sogar manipulierend wirken kann, ist mittlerweile allgemein akzeptiert.
Manche Scoring-Anbieter versprechen, man könne mit seinem Verhalten zeigen, dass man verlässlich ist und dadurch etwa Zugang zu Krediten bekomme, die man sonst nicht bekäme. Was halten Sie davon?
Das ist ein interessantes Argument. Erst einmal wäre wichtig zu wissen, was genau jemanden kreditwürdig erscheinen lässt. Und es stellt sich die Frage, was passiert, wenn sich jemand anders verhält, weil er getrackt wird. Das kann schwere Folgen für unsere Gesellschaft haben. Etwa, wenn man nicht auf eine Demo geht, weil man nicht weiß, wie sich das auf die Kreditwürdigkeit auswirken würde. Das darf nicht sein. Wenn man so ein Verfahren hätte, dann bräuchte es objektive, klare, nachvollziehbare Kriterien.
Welche Scoring-Methoden dürfen Anbieter in Deutschland auf der Grundlage von Daten aus sozialen Netzwerken anwenden?
Wenn man etwa aus meinen Kontakten darauf schließen will, wie kreditwürdig ich bin, dann ist das vergleichbar mit der Wohngegend, die als Faktor in der Bewertung meiner Kreditwürdigkeit nicht überhand nehmen darf. Nicht, dass es von den Nachbarn abhängig ist, ob ich kreditwürdig bin oder nicht. Bei der Wohngegend ist in Deutschland gesetzlich klar: Das darf nicht die Hauptrolle spielen.
Im Fall von öffentlichen Daten darf rechtlich gesehen eine ganze Menge ausgewertet werden. Aber wenn so etwas wie meine Kontakte bei Facebook eine Auswirkung auf meine Kreditwürdigkeit haben, dann ist das überhaupt nicht erwartungskonform. Deshalb ist es hochproblematisch.
Wie schützt mich die Datenschutz-Grundverordnung vor Nachteilen durch Scoring?
Hier spielt möglicherweise das Verbot eine Rolle, nachdem ein Anbieter nicht vollautomatisch über Menschen entscheiden darf, wenn das Ergebnis der Entscheidung rechtlich bindend oder ähnlich bedeutsam für die Betroffenen wäre. Aber dieser Punkt ist für die Praxis noch nicht völlig geklärt. Die Frage, was mit öffentlich zugänglichen Daten gemacht werden darf, die jemand bewusst selbst veröffentlicht hat, ist auch noch nicht ausreichend diskutiert.
In beiden Punkten geht es um eine Abwägung zwischen den Rechten und Freiheiten der Betroffenen und solchen Faktoren wie den berechtigten Interessen der Anbieter. Es ist noch offen, was in welchen Fällen überwiegen wird.
Die europäische Datenschutz-Grundverordnung (DSGVO) regelt erstmals einheitlich, wie personenbezogene Daten von EU-Bürgern verwendet werden dürfen. Sie tritt an die Stelle unterschiedlicher Datenschutzgesetze der EU-Staaten. In manchen Bereichen sind weiterhin nationale Regelungen möglich. Die Regelungen gelten vollständig seit dem 25. Mai 2018. Viele der Regelungen orientieren sich am Datenschutz, der in Deutschland bereits galt, andere sind neu.
zum Glossar
Kann man sich solchem Tracking und Scoring eigentlich noch entziehen?
Ich bin der Meinung, man müsste sich solchen Beobachtungen und Bewertungen auch entziehen können. Gerade dann, wenn man zum Beispiel auf andere Weise nachweist, dass man kreditwürdig ist, oder gar nichts in diesem Bereich in Anspruch nehmen will. In beiden Fällen wäre es überhaupt nicht erforderlich, dass man getrackt wird. Die Realität sieht leider anders aus.
Im neuen EU-Datenschutzrecht gibt es die Anforderung, dass Onlinedienste und andere Angebote so gestaltet sein müssen, dass die Privatsphäre der Nutzerinnen und Nutzer bestmöglich geschützt wird, das Prinzip der privacy by design. Was erwarten Sie davon?
Ich gehe davon aus, dass sich die Angebote nicht sofort am Stichtag des Inkrafttretens des Gesetzes geändert haben werden, aber dass es langfristig einen starken Hebel darstellen wird, um Verbraucher besser zu schützen.
Die Verpflichtung zu privacy by design enthält eine Reihe von Bedingungen, die zunächst wie Einschränkungen wirken. Ein Anbieter muss sich unter anderem den Stand der Technik angucken, den Umfang der eigenen Datenverarbeitung, was es kostet, wenn er datenschutzfreundliche Technik einsetzt, und so weiter. Er könnte eigentlich immer relativ einfach eine Begründung finden, warum er keinen besseren Datenschutz einbaut.
Aber das Ganze ist nicht als eine Liste möglicher Ausreden zu verstehen. Der Anbieter muss vielmehr dokumentieren, dass er sich damit beschäftigt hat. Diese Dokumentation muss nachvollziehbar sein; sie schafft Transparenz und Vergleichbarkeit zwischen Anbietern. Wenn der Stand der Technik etwa besagt, dass Nutzerdaten in einem bestimmten Zusammenhang problemlos pseudonymisiert werden können, gibt es für einzelne Anbieter kaum noch eine legitime Begründung, das nicht zu tun.
Neu ist auch das Prinzip datenschutzfreundlicher Voreinstellungen (privacy by default). Was bedeutet das?
Durch Voreinstellungen darf nicht mehr mit den Daten gemacht werden, als für ein Angebot nötig ist. Das gilt zum Beispiel für die Menge der gespeicherten Daten oder für die Frage, wie lange die Daten aufbewahrt werden. Das kann bedeuten, dass sehr viele Daten gar nicht mehr den Anbieter erreichen. Es sei denn, sie sind für das Angebot wirklich erforderlich. Eine Online-Untersuchung im Bereich der Telemedizin wäre ziemlich witzlos, wenn man nicht ein paar gesundheitsbezogene Daten hergibt.
Aber für viele andere Dinge, etwa beim normalen Einkauf, wäre es überhaupt nicht nötig, dass zum Beispiel Tracking-Daten gespeichert und ausgewertet werden. Das kann aus Bequemlichkeit von mir gewollt sein, zum Beispiel für eine Kaufhistorie, aber in der Voreinstellung für alle wäre das ausgeschaltet.