Der EuGH hat am 7. Dezember entschieden, dass die Schufa eine ganze Reihe von Pflichten nach der Datenschutzgrundverordnung zu erfüllen hat. Dass die Schufa Verbraucherdaten verarbeitet, um ihren Score zu erstellen, liegt ja auf der Hand. Ein besonders strenges Regime mit weitgehenden Transparenzpflichten wird aber nur ausgelöst, wenn eine automatisierte Datenverarbeitung zu einer „Entscheidung“ gegenüber dem Verbraucher führt. Die Schufa hatte vorgetragen, sie treffe keinerlei Entscheidung, sondern unterstütze nur Banken oder andere Unternehmen, die ihren Score verwenden. Der EuGH sah das anders: Jedenfalls wenn der Score bei der anschließenden Kreditgewährung eine „maßgebliche Rolle“ spielt, kann sich die Schufa nicht weiterhin auf diese Weise aus der Verantwortung ziehen. Nach der Datenschutzgrundverordnung ist sie dann sogar verpflichtet, dem Verbraucher gegenüber „aussagekräftige Informationen über die involvierte Logik“ mit Blick darauf zu erteilen, was bei der automatisierten Entscheidungsfindung eigentlich geschieht.
Das Urteil bedeutet also weitere Informationspflichten und Transparenzauflagen sowohl für kreditvergebende Institute als auch perspektivisch für Auskunfteien wie die Schufa selbst. Was wiederum die Frage aufwirft: Wieso muss die Privatwirtschaft eigentlich immer wieder mit viel Gezeter zu mehr Transparenz gezwungen werden? Und umgekehrt: Wieso ist Transparenz aus der Perspektive einer Bank oder der Schufa eigentlich so unangenehm? Folgende vier Gründe werden immer wieder aufgeführt:
1. „Dann können wir nicht mehr die besten Modelle einsetzen!“
Es besteht, auch in der Finanzwirtschaft, ein „Komplexitätsbias“, sprich: eine weit verbreitete Annahme, dass mehr Informationen und komplexere Modelle mit größerer Flexibilität (d. h. mehr freien Parametern) grundsätzlich bessere Ergebnisse liefern als einfachere und damit transparentere Modelle, die weniger Informationen benötigen. Im Umkehrschluss führt dies zu der Überzeugung, dass die Verwendung leicht verständlicher, einfacher und transparenter Algorithmen grundsätzlich mit Leistungsverlusten einhergeht, wie zum Beispiel einer geringeren Genauigkeit bei der Risikoprognose.
Glücklicherweise ist dies ein Irrglaube! Die Vorstellung, dass komplexere Modelle immer besser sind als einfache, ist nachweislich falsch. Modelle, die einfach und transparent sind, wenige Daten verwenden und diese Daten auf transparente Weise kombinieren, können hochkomplexe KI-“Blackbox”-Modelle in ihrer Leistung übertreffen – selbst in Situationen, in denen ausreichend viele Daten zur Verfügung stehen. Dies haben über 30 Jahre Forschung am Max-Planck-Institut für Bildungsforschung in hunderten von Studien, sowie mittlerweile 10 Jahre Anwendungserfahrung in der praktischen Umsetzung dieser sogenannten „Psychologischen KI“-Modelle gezeigt. Psychologische KI unterstützt bereits Entscheidungen in der Intensivmedizin, bei Kautionsentscheidungen, im Militär, in der Bewertung der Kundenaktivität, und in vielen weiteren Bereichen. Das zeigt, dass weniger mehr sein kann und es keinen Kompromiss zwischen Transparenz und Leistung geben muss.
2. „Dann wird der Score ja manipuliert!“
Als nächstes kommt die Furcht vor „Gaming the System“, also davor, dass Verbraucher ein transparentes System manipulieren könnten, um sich unfaire Vorteile (den Firmen gegenüber) zu verschaffen. Sicherlich, Endkundinnen und -kunden können nur dann und in dem Maße ihren Score beeinflussen, wie sie auch Einblick in ihn haben – das liegt in der Natur der Sache. Aber es wäre ein Irrtum zu glauben, dass Intransparenz Manipulationsrisiken reduziert – im Gegenteil: Insbesondere Firmenkunden oder andere systemische Akteure können sehr wohl mit modernen technologischen Möglichkeiten oder ihrem Systemwissen intransparente Risikomodelle systematisch manipulieren. Der Unterschied: Aufgrund der Intransparenz des Systems fällt diese Art von Betrug gar nicht oder erst wesentlich später auf, als es bei transparenten Systemen der Fall wäre.
Wenn Verbraucher die Merkmale kennen würden, nach denen die Schufa und andere Wirtschaftsauskunfteien sie beurteilen, dann würden sie auch wissen, wie sie ihre Kreditwürdigkeit verbessern können. Eine solche „Manipulation“ kann zu vernünftigerem Finanz-Verhalten führen und daher wünschenswert sein. Telematik-Kfz-Versicherungen legen aus diesem Grund schon lange die Merkmale ihrer Risikobewertungsmodelle ohne Angst offen. Somit wissen Autofahrer etwa, dass abruptes Bremsen oder Beschleunigen zu Punktabzügen und einem niedrigeren Score führt und können ihren Fahrstil entsprechend anpassen.
Die Kernfrage ist, welche Merkmale in welcher Form in den Score einfließen und wie die Gesamtstruktur des Scores aussieht. Haben diese Merkmale tatsächlich einen kausalen Bezug zu nachhaltigerem finanziellem Handeln, dann ist es irreführend, von Gaming zu sprechen. Wenn also beispielsweise die historischen Daten zeigen, dass Personen mit vier oder mehr Kreditkarten häufiger in Zahlungsschwierigkeiten geraten als solche mit weniger Kreditkarten, dann erhalten Personen, die vier Kreditkarten haben, einen schlechteren Score als jene mit nur ein oder zwei Kreditkarten. Und Verbraucher werden, in den allermeisten Fällen sinnvollerweise, dazu animiert, die Zahl ihrer Kreditkarten und damit ihre finanzielle Risikoexposition zu vermindern. Statt „Manipulationsrisiken“ zu fürchten, sollte man vielmehr untersuchen, wie man durch Transparenz einen konstruktiven Austausch auf Augenhöhe zwischen Kreditgeber und Kreditnehmer unterstützen kann.
3. „Dann klaut die Konkurrenz unser Produkt!“
Die Angst vor der Konkurrenz in der (außerhalb Deutschlands) hart umkämpften Kredit-Scoring-Branche war bisher sicherlich der überzeugendste Grund für Auskunfteien, die Logik ihrer Scoring-Systeme nicht offen zu legen. Die berechtigte Sorge, dass Konkurrenten dann den Score kopieren, mit eigenen Daten anreichern und ggf. eine bessere Prognoseleistung erzielen, nur um dieses Modell dann wieder in eine eigene proprietäre Black-Box zu packen, war lange Zeit eine ernstzunehmende Hürde für Transparenzbestrebungen in der Branche. Diese Sorge war es auch, welche die Chefin der Schufa, Tanja Birkholz, in einem ZEIT-Interview im Sommer 2023 dazu bewegte, folgenden Aussage zu treffen: „Wenn alle Auskunfteien ihre Algorithmen offenlegen, können wir darüber reden“. Dies ist weitgehend und fälschlicherweise so aufgefasst worden, dass sie „in Deutschland“ meinte – sie sprach allerdings vom europäischen bzw. dem globalen Markt, auf dem es deutlich größere Auskunfteien als die Schufa gibt, welche sich bei einer alleinigen Score-Offenlegung der Schufa sicherlich die Hände reiben würden.
Auf eine Offenlegung von Scoring-Modellen geht das EuGH-Urteil nur in einem Nebensatz ein, für den konkreten Fall war diese Frage nicht entscheidend. Immerhin verweist das Gericht aber darauf, dass Verbraucher ein Recht darauf haben, aussagekräftige Informationen über die „involvierte Logik“ zu erhalten. Damit hat die EU einen weiteren Schritt in Richtung regulatorischer Sicherheit in Punkto Transparenzanforderungen gemacht. Alle im EU-Raum agierenden Akteure werden in Zukunft diesen Auflagen unterliegen, auch wenn die Datenschutzgrundverordnung nicht zur Offenlegung von Geschäftsgeheimnissen zwingt.
Interessantes Detail: Das VG Wiesbaden, welches die Entscheidung dem EuGH vorgelegt hat, ging noch davon aus, dass die Schufa aus Gründen des Wettbewerbsschutzes ihre Modelle nicht offenlegen muss. So hatte es der BGH zu § 31 des deutschen Bundesdatenschutzgesetzes entschieden. Der Generalanwalt beim EuGH war anderer Meinung und hat eine angemessene Balance zwischen dem Auskunftsrecht des Betroffenen und dem Geschäftsgeheimnis der Schufa verlangt. Darauf bezieht sich der EuGH mit seiner Bemerkung zur „involvierten Logik“. Für die Details werden wir auf künftige Gerichtsentscheidungen warten müssen, aber auch hier hat der EuGH ein weiteres Signal in Richtung Transparenz für Endverbraucher gesetzt.
4. „Da könnten Verbraucher ja empört werden!“
Transparenz ist kein Selbstzweck. Sie ist jedoch eine notwendige Voraussetzung für ein faires, nachvollziehbares und im Positiven beeinflussbares Scoring. Aber: Wenn Verbraucher Einblicke in ein Scoring-Modell erhalten und das, was sie dort sehen, weder nachvollziehbar noch fair noch durch ihr Verhalten irgendwie beeinflussbar ist – naja, dann hilft auch die ganze Transparenz nichts. Doch auch hier entfaltet die Rechtsprechung des EuGH eine positive Wirkung. In Zukunft wird es nämlich nicht mehr heißen: „Wie sieht es bei mir aus, wenn ich die Hosen runterlasse“, sondern: „Sieht es bei mir besser oder schlechter aus als bei den anderen?“ Und: „Wie werde ich schneller besser als die Konkurrenz?“
Dabei muss fairerweise gesagt werden, dass die Schuld für die Komplexität und mangelnde Nachvollziehbarkeit im Kredit-Scoring nicht allein bei Auskunfteien und Finanzinstituten liegt. Sicherlich bzgl. der Frage, welche Modelle verwendet werden, besteht oft eine unnötige Intransparenz, die aus dem bereits erwähnten und weit verbreiteten „Komplexitätsbias“ herrührt. Aber ein erheblicher Anteil der Komplexität und mangelnden Nachvollziehbarkeit findet auf der Ebene der einzelnen Merkmale statt, die der Schufa und anderen Auskunfteien übermittelt werden. Erst im Dezember wurde der ARD ein Dokument zugespielt, das vermeintlich 70 Merkmale listet, welche bei der Schufa zum Scoring eingesetzt werden (bisher waren der Öffentlichkeit nur 13 bekannt). Laut Berichterstattung wurde die überwiegende Mehrheit der Merkmale intern als schwierig oder gänzlich ungeeignet für die Außenkommunikation eingestuft. Als Beispiel wurde im ARD-Beitrag das „Vorhandensein der Postleitzahl des Geburtsortes“ genannt. Ungeachtet des statistischen Zusammenhanges zwischen Zahlungsausfällen und dieser Information ist es Bürgerinnen und Bürgern nur sehr schwer vermittelbar, warum solche Merkmale Einfluss auf die Beurteilung ihrer Bonität haben sollten. Auch sind sie in keiner Weise beinflussbar, was deren Akzeptanz weiter verringert.
Aber ein erheblicher Anteil dieser Komplexität speist sich aus der Komplexität des Finanzsystems und kann nicht einem einzelnen Kreditinstitut oder gar einer Auskunftei angelastet werden. Finanzinstitute haben nur bedingt Einfluss darauf, welche Daten sie erfassen, speichern, und zur Bewertung der Kreditwürdigkeit verwenden dürfen. Noch höhere Auflagen existieren mit Blick auf die Weitergabe dieser Informationen an Dritte, wie z.B. Auskunfteien. Das kann dazu führen, dass die Informationen, welche dann den Auskunfteien zum Kredit-Scoring zur Verfügung stehen, abstrakt sind und nur bedingt mit vernünftigem finanziellem Handeln zu tun haben (wie das PLZ-Beispiel oben).
Eine Offenlegung kann aber, wenn man Kritik offen annimmt und in einen konstruktiven Dialog mit Bürgerinnen und Bürgern tritt, dazu führen, dass sich über die Zeit tatsächlich bessere Merkmale mit einem stärkeren kausalen Bezug zu vernünftigem finanziellem Handeln herausbilden: kausale und durch eigenes Handeln beeinflussbare Merkmale werden der Öffentlichkeit erklärbarer sein und wahrscheinlicherer akzeptiert werden. Überkomplexe, rein korrelative (und damit game-bare) oder unfairerweise vorverurteilende Merkmale allerdings werden durch den Diskurs mit der Öffentlichkeit herausgesiebt werden. Damit kann der Score am Ende an Qualität und auch Trennschärfe gewinnen.
Fazit: transparentere Modelle, kompetentere Bürger.
Im Jahr 2018 verfasste einer von uns (GG) in seiner Rolle als Mitglied des Sachverständigenrats für Verbraucherfragen federführend den Report „Verbrauchergerechtes Scoring“, in dem eine deutlich höhere Transparenz von Scoring-Anbietern eingefordert wurde. Der EuGH scheint dem nun endlich nachgekommen zu sein. Die eindeutig an den Bedürfnissen einer aufgeklärten Bürgerschaft orientierte Rechtsprechung setzt klare Signale an die Zukunft. Die Schufa ist laut eigener Webseite der Meinung, dass sie diese bereits durch die Datenauskunft und den Score-Simulator erfüllt und setzt sich selbst jüngst in einem Weihnachtsvideo ein Häkchen hinter ihre „Transparenzoffensive“. Inwieweit dies der Fall ist, werden nationale Gerichte in Zukunft klären. Fest steht, es ist noch viel Luft nach oben und weitere Regularien stehen bereits vor der Tür. Die EU KI-Verordnung wird KI-Scoring-Systeme in der Kreditvergabe als Hochrisikomodelle mit entsprechend höheren Transparenzanforderungen und weiteren produktbezogenen Pflichten einordnen. Auch die im September reformierte EU-Verbraucherkreditrichtlinie enthält Vorgaben dazu. Auskunfteien und Kreditinstitute, die sich bereits jetzt mit den Vorteilen höherer Transparenz auseinandergesetzt und Mehrwerte für sich herausgearbeitet haben, werden in dieser Zukunft einen Marktvorteil haben.
Ein Text von RiskNet (Niklas Keller, Katja Langenbucher, Gerd Gigerenzer)