Von Katja Langenbucher”Are You Creditworthy? The Algorithm Will Decide” titelte ein Essay, der sich im vergangenen Jahr mit Umwälzungen in den Praktiken des Kreditscoring für Privatpersonen beschäftigte, einem in Deutschland von der Schufa bereitgestellten Service. Künftig, so war dort zu lesen, werde der Score eines potenziellen Kreditnehmers nicht mehr auf der Basis pünktlich beglichener Rechnungen, bereits erhaltener Kredite oder Zahlungsstörungen bestimmt. Stattdessen liege die Zukunft des Kreditscorings in einer Zusammenschau von “Big Data” und künstlicher Intelligenz.”Big Data”, also die schnelle Verfügbarkeit großvolumiger und vielfältiger Daten wie beispielsweise des digitalen Fußabdrucks in sozialen Netzwerken, ermöglicht die Ausdehnung der Scoringbasis weit über Informationen zum Zahlungsverhalten hinaus. So greifen online tätige Kreditgeber auf Beschäftigungsverhältnisse zu, auf den Wohnort des potenziellen Kreditnehmers, die in dessen Mobiltelefon gespeicherten Gespräche, Kontakte oder Ortungsdaten. Auch die Anzahl von Tippfehlern in Textnachrichten, die für das Ausfüllen eines Formulars benötigte Zeit, die in Google verwendeten Suchbegriffe, bestimmte Charaktereigenschaften oder die Häufigkeit des Aufladens eines Mobiltelefons lassen sich erfassen. Künstliche Intelligenz, in der Form maschinellen Lernens, erleichtert sodann die Ermittlung statistischer Korrelationen zwischen derartigen Datenpunkten und historischen Fakten zum Zahlungsverhalten vergleichbarer Gruppen. Die Entscheidung über die Kreditvergabe, so die Vision der Fintech-Entrepreneure, werde künftig intuitiver, zufälliger oder statistisch nur begrenzt aussagekräftiger Elemente entkleidet.Davon soll nicht nur der Kreditgeber profitieren, der sich auf eine mess- und objektivierbare Prognose stützen kann. Auch potenziellen Kreditnehmern wird eine faire Entscheidung in Aussicht gestellt, die etwa Personen ohne festes monatliches Einkommen oder mit häufig wechselndem Wohnsitz zugutekommen kann. Kritiker betonen freilich die Risiken, die mit algorithmisch gesteuerter Kreditvergabe einhergehen. Dazu zählt der Anreiz für Kreditgeber oder diese beliefernde Scoringagenturen, möglichst umfassend Daten aus Lebenswelten zu sammeln, deren Bedeutung für die Kreditwürdigkeit sich dem typischen Konsumentenkreditnehmer nur selten erschließen dürfte. Auch auf die Gefahr verdeckter Diskriminierung im Rahmen der Kreditvergabe wird verwiesen. Nicht selten korrelieren nämlich unzulässige Merkmale wie Geschlecht oder Rasse eng mit “unverdächtigen” Variablen wie Vornamen oder Musikgeschmack. Feststellung und Nachweis unzulässiger Diskriminierung wird erschwert, wenn der steuernde Algorithmus “harmlose” Merkmale als relevant erkennt, dadurch aber jedenfalls mittelbar diskriminierende Folgen hervorruft. Einbuße an PrivatheitWeder die Sorge um die eigene Privatsphäre noch die Furcht vor diskriminierender Kreditvergabe ist neu. Es liegt auf der Hand, dass Kredite auf der Grundlage einer Bonitätsprüfung vergeben werden. Damit geht die Abfrage hierfür relevanter Informationen, und folglich eine gewisse Einbuße an Privatheit, notwendig einher. Auch die Trennung potenzieller Kreditnehmer in erwünschte und unerwünschte Vertragspartner liegt in der Natur dieser Entscheidung. Welche Faktoren in die Prüfung einfließen, ist hingegen durchaus einem gewissen Wandel unterworfen.Für die Beurteilung der Kreditwürdigkeit im 19. Jahrhundert hatte sich beispielsweise die US-amerikanische Kurzformel “Three Cs – Character, Capital and Capacity” eingebürgert. Sowohl das bereits vorhandene Capital als auch die Capacity zählten hiernach zu den naheliegenden und jedenfalls auf den ersten Blick messbaren Einflussgrößen. Messbarkeit hängt freilich von der Qualität der Information entscheidend ab. Wenig optimistisch gab sich hier ein deutscher Bankdirektor, der im Jahr 1929 klagte: “Sieht man genauer hin, so besteht das Privatvermögen aus der möglicherweise schon lange nicht mehr echten Perlenkette der Frau und einer höchstbelasteten, auf den Namen der Kinder eingetragenen Villa” (zitiert nach Rudolph, S. 24). Es überrascht vor diesem Hintergrund nicht, wenn noch in einem 1936 erschienenen Handbuch für die Praxis der Kreditvergabe in den USA zu lesen ist: “More significant than property or income is the character of the purchaser as evidenced by his reputation for integrity and honesty” (zitiert nach Lauer, S. 20). Mit der Fokussierung auf Character ist allerdings das Problem nur verschoben. In den Vordergrund tritt nunmehr die Beschaffung solcher Informationen, die eine Beurteilung des Charakters künftiger Kreditnehmer erlauben sollen. Hierbei mag man an einen ortsansässigen Händler denken, der die ihm bekannten Kunden “anschreiben” lässt, oder an den Bankdirektor, dessen Großkreditnehmer aus demselben sozialen Umfeld stammen wie er selbst.Diese Art der personalisierten Informationsbeschaffung stieß im Verlauf des 19. Jahrhunderts allerdings an ihre Grenzen. Aus ortsansässigen Händlern wurden überregional auftretende Kaufhäuser, aus persönlich bekannten Bankkunden örtlich mobile Arbeitnehmer. In diese Marktlücke drangen kommerzielle Kreditauskunfteien vor, die objektivierte und messbare Information versprachen. In den USA etablierten sich um 1840 derartige Agenturen, zunächst auf die Beurteilung von Firmenkunden ausgerichtet. Um 1870 entstand in New York die erste Auskunftei, die sich mit der Bewertung von Konsumenten beschäftigte, bis 1890 fanden sich vergleichbare Agenturen über das Land verteilt (Lauer, S. 7). In Deutschland geht die Schufa auf das Jahr 1927 und eine Idee der Berliner Elektrizitätswerke zurück. Diese boten ihren Kunden neben Strom auch Elektrogeräte zum Kauf an. Diese Geräte konnten auf der Basis von Ratenzahlung erworben werden; fällige Zahlungen wurden im Rahmen der Stromablesung eingezogen. Die hiermit einhergehende Einsicht in die Bonität der Kunden begannen die Elektrizitätswerke systematisch zu erfassen und anderen Händlern zur Verfügung zu stellen – die Idee einer privaten “Schutzgemeinschaft für allgemeine Kreditsicherung” war geboren und verbreitete sich von Berlin aus in andere Städte.Bis die Folgen der auf diese Weise standardisierten Information über Kreditnehmer in den Fokus der Öffentlichkeit und schließlich des Gesetzgebers gerieten, verging fast ein Jahrhundert. Vorreiter waren die USA, die in den 1970er Jahren gleich zwei Gesetzeswerke zu Datenschutz und Antidiskriminierungsrecht vorlegten. 1970 wurde der Fair Credit Reporting Act erlassen, der die Weiterleitung von Kreditauskünften an bestimmte Voraussetzungen knüpfte und Verbrauchern Rechte auf Einsichtnahme in die von Auskunfteien gespeicherten Daten verschaffte. Der Equal Credit Opportunities Act von 1974 reagierte auf diskriminierende Missstände in der Kreditvergabe. Betroffen waren beispielsweise alleinstehende Frauen, die, auch wenn sie berufstätig waren, nicht als kreditwürdig eingeordnet wurden, solange sich kein männlicher Mitunterzeichner fand. Statistische DiskriminierungErfasst werden sollten außerdem rassische Minderheiten, die insbesondere in den amerikanischen Großstädten häufig auf “Kredithaie” angewiesen waren. Das führte nicht nur zu wucherischen Zinsen, sondern auch dazu, dass diese Minderheiten keine anerkannte Credit History aufbauen konnten und ihnen folglich der Zugang zu den klassischen Systemen der Bonitätseinschätzung verwehrt war (Lauer, S. 235). Das Gesetz untersagte zunächst die auf der Basis von Geschlecht oder Ehestand diskriminierende Kreditvergabe, im Jahr 1976 wurde dies auf Rasse, Nationalität, Religion, Alter oder den Bezug von Sozialhilfe ausgeweitet. Ein Juristen noch heute beschäftigendes Problem hatte das amerikanische Gesetz damit bereits angelegt: Die genannten Merkmale reflektieren existierende gesellschaftliche Ungleichheit. Fehlt es einem Kreditgeber an hinreichenden Informationen über einen potenziellen Kreditnehmer, ist es deshalb aus dessen Sicht durchaus rational, mit Blick auf die Zugehörigkeit des Anfragenden zur Gruppe unverheirateter Frauen oder der Bewohner eines “Problembezirks” den Kredit abzulehnen – Ökonomen sprechen von “statistischer Diskriminierung”.Ob Diskriminierungsverbote Abhilfe schaffen oder man besser auf andere Umverteilungsinstrumente setzen sollte, ist Gegenstand rechtspolitischer Debatten. Inwieweit sich die Dogmatik des Diskriminierungsrechts hierzu eignet, führt zu komplexen Fragen der unmittelbaren und mittelbaren Diskriminierung, der Verfolgung eines legitimen Ziels mittels diskriminierender Mittel, der Geeignetheit, Erforderlichkeit und Verhältnismäßigkeit derartiger Maßnahmen und nicht zuletzt des Ausmaßes einer Bindung privater Kreditgeber oder Scoringagenturen an staatliche Diskriminierungsverbote.Auch der deutsche Gesetzgeber widmete sich in den 1970er Jahren den Rechten betroffener Privatpersonen. Das hessische Datenschutzgesetz vom Oktober 1970 darf als das älteste allgemeine Datenschutzgesetz bezeichnet werden. Der Bund reagierte dann 1977 mit dem Erlass des Bundesdatenschutzgesetzes (BDSG). Es machte die Zulässigkeit jeder Datenverarbeitung von der Einwilligung des Betroffenen oder einer expliziten rechtlichen Gestattung abhängig. Außerdem werden Betroffenen Rechte auf Auskunft, Berichtigung, Sperrung und Löschung eingeräumt.Speziell mit Kreditauskunfteien beschäftigte sich freilich erst die Neufassung des BDSG aus dem Jahr 2009. Hier wurde die Übermittlung von Daten nur erlaubt, soweit eine trotz Fälligkeit unbezahlte, rechtskräftig festgestellte oder vom Schuldner anerkannte Forderung in Rede steht. Um Kreditscoring im engeren Sinne geht es in § 28b BDSG a.F. Scoring wurde dort als Erhebung “eines Wahrscheinlichkeitswerts für ein bestimmtes zukünftiges Verhalten des Betroffenen” definiert. Hierfür verlangt das Gesetz eine gewisse Qualitätskontrolle, nämlich die Verwendung eines “wissenschaftlich anerkannten mathematisch-statistischen Verfahrens” sowie “nachweisbar erheblicher” Daten. Ein Element der Antidiskriminierung findet sich, soweit ein Scoringverfahren nicht ausschließlich auf der Verwendung von Anschriftendaten beruhen darf. Das Spannungsverhältnis zwischen dem Auskunftsrecht des Betroffenen und dem Geschäftsgeheimnis der Schufa hat der Bundesgerichtshof im Jahr 2014 zulasten des betroffenen Kreditnehmers aufgelöst. Zwar, so urteilte das Gericht, kann der Kunde Auskunft über die gespeicherten kreditrelevanten Daten verlangen, welche in die Berechnung des Scores einfließen. Die “Score-Formel”, also die Art und Weise der Berechnung des Scores, muss die Schufa aber nicht offenlegen. Zu den geschützten Bestandteilen der Score-Formel zählte der Bundesgerichtshof die als “allgemeine Rechengrößen” bezeichneten Elemente, beispielsweise statistische Werte und Vergleichsgruppen sowie die von der Schufa vorgenommene Gewichtung einzelner Variablen für die Ermittlung des endgültigen Scores.Mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) bleibt die Zulässigkeit jeder Datenverarbeitung an bestimmte Erlaubnistatbestände geknüpft. Das kann nach Art. 6 DSGVO insbesondere die Einwilligung des Betroffenen sein, aber auch eine allgemein gefasste Ausnahmevorschrift, die auf “berechtigte Interessen des Verantwortlichen” verweist. Wie bereits das BDSG kodifiziert auch die DSGVO den besonderen Schutz sensibler, zur Diskriminierung geeigneter Daten wie beispielsweise Rasse, ethnische Herkunft, Religion oder sexuelle Orientierung. Auch insoweit steht das grundsätzliche Verbot unter dem Vorbehalt der Einwilligung des Betroffenen.Online gestellte Kreditanträge erwähnt der Erwägungsgrund (71) der DSGVO ausdrücklich. Festgehalten wird, dass diese nicht auf der Basis einer ausschließlich automatisiert erfolgenden Verarbeitung abgelehnt werden dürfen. Ist der Betroffene mit der automatisierten Abwicklung einverstanden, verlangt Art. 22 DSGVO nur noch die angemessene Wahrung seiner Rechte, insbesondere die Möglichkeit, menschliches Eingreifen in diesen Prozess herbeiführen zu können. Mit Kreditauskunfteien beschäftigt sich die DSGVO hingegen nicht ausdrücklich. Diese Lücke soll für das deutsche Recht § 31 BDSG füllen. Wie in § 28b BDSG a.F. wird dort das Scoring definiert und dessen Zulässigkeit an die bereits unter der Vorgängernorm einschlägigen Bedingungen geknüpft.Vom Regelungsansatz des US-Rechts unterscheidet sich damit das europäische und das deutsche Datenschutzrecht in verschiedener Hinsicht. So setzt es nicht nur beim Datenschutz im Kontext des Credit Reporting an, sondern ganz allgemein bei jeder Art der Datenspeicherung. Auskunftsansprüche können unter der DSGVO gegen jede datenverarbeitende Stelle geltend gemacht werden. Unter dem amerikanischen Regime hängen diese hingegen davon ab, dass die Subsumtion unter den Begriff der “Consumer Reporting Agency” gelingt und es sich um einen “Consumer Report” im Sinne dieses Gesetzes handelt. Die Durchsetzung dieser Normen liegt in den USA in den Händen der Finanzaufsichtsbehörden, in Europa sind Datenschutzbehörden zuständig. Ist die Datenspeicherung in den USA grundsätzlich gestattet und nur in bestimmten Fällen verboten, ist das europäische Regel-Ausnahme-Verhältnis genau umgekehrt: Die Verarbeitung personenbezogener Daten ist grundsätzlich untersagt, lässt sich aber durch eine ganze Reihe von Ausnahmebestimmungen legitimieren. Diese gerade für die Bonitätsbeurteilung zu konkretisieren, zählt zu den Herausforderungen, die an der Schnittstelle von Datenschutz- und Bankrecht zu bewältigen sind.Ganz ähnlich verhält es sich mit Blick auf die Regulierung von Diskriminierungsgefahren. Anders als der US-amerikanische Equal Credit Opportunities Act kennen weder das deutsche noch das europäische Recht speziell auf die Kreditgewährung zugeschnittene Antidiskriminierungsnormen. In Einzelfällen dürfte stattdessen das Allgemeine Gleichbehandlungsgesetz einschlägig sein.In Umsetzung europäischer Richtlinien untersagt dessen § 19 die Benachteiligung aus Gründen “der Rasse oder wegen der ethnischen Herkunft, wegen des Geschlechts, der Religion, einer Behinderung, des Alters oder der sexuellen Identität”. Erfasst sind der Abschluss privatrechtlicher Versicherungen, aber auch andere zivilrechtliche Massengeschäfte, unter die man etwa den massenhaft eingeräumten Konsumentenkredit subsumieren könnte. Über den Umgang mit “statistischer Diskriminierung” ist damit aber noch nicht endgültig entschieden. Verweist ein Kreditgeber darauf, dass die Zugehörigkeit eines potenziellen Kunden zu einer der geschützten Gruppen für dessen Bonität relevant ist, mag man sich fragen, ob überhaupt eine Diskriminierung “aus Gründen” eines geschützten Merkmals stattfindet. Auch wenn man das bejaht, gestattet § 20 des Gesetzes die Ungleichbehandlung (außerhalb von Rasse und ethnischer Herkunft), sofern ein sachlicher Grund gegeben ist. Dem deutschen Gesetz wird man deshalb vor allem das Gebot entnehmen können, für Ungleichbehandlungen einen vernünftigen Rechtfertigungsgrund vorbringen zu können. Das amerikanische Gesetz untersagt hingegen von vornherein die Bezugnahme auf sämtliche geschützten Merkmale. Ob der Europäische Gerichtshof unter Rückgriff auf spezielle Gleichbehandlungsrichtlinien oder auf allgemeine europarechtliche Prinzipien eine ähnliche Haltung einnehmen könnte, ist noch nicht ausgemacht. Immerhin lässt sich dem viel kritisierten “Unisex”-Urteil ein grundsätzliches Verbot der geschlechtsabhängigen Preisgestaltung durch Versicherungen und damit eine gegenüber “statistischer Diskriminierung” kritische Haltung entnehmen. Gute und schlechte RisikenNoch komplizierter dürfte sich die rechtliche Beurteilung vor dem Hintergrund der eingangs skizzierten algorithmenbasierten Scoringmodelle darstellen. Das gilt nicht nur, weil sich direkte Diskriminierung mit Blick auf geschützte Merkmale (etwa: Geschlecht) hinter Korrelationen mit “unverdächtigen” Variablen (etwa: Vornamen, aber auch bestimmten Suchtermini in Google) verstecken lassen könnte (Barocas/Selbst, S. 692). Angesichts der Vielzahl möglicher Variablen und – häufig durchaus überraschender – Korrelationen, die eine Big-Data-Auswertung produziert, wird häufig gar nicht die direkte, sondern die “mittelbare” Diskriminierung in Rede stehen. So bezeichnet man neutral formulierte Regeln oder Kriterien, die das Potenzial haben, bestimmte geschützte Gruppen dadurch zu benachteiligen, dass deren Mitglieder überproportional betroffen werden (etwa: das Abstellen auf Teilzeitarbeit betrifft mehrheitlich Frauen).Geht es dem Kreditgeber aber nicht darum, bestimmte Gruppen auszuschließen, sondern verlässt er sich gleichsam blind auf die festgestellte Korrelation (etwa: wer ein Formular rasch ausfüllt, ist kreditwürdig), steht ihm das diskriminierende Potenzial seines Algorithmus gar nicht notwendig vor Augen. Das verschärft sich noch, wenn der verwendete Trainingsdatensatz historische Diskriminierung reflektiert (etwa: unverheiratete Frauen bergen ein hohes Kreditrisiko) und somit eine “biased A.I.” derartige Diskriminierung fortschreibt und vertieft.Besteht keine Verpflichtung, die Score-Formel offenzulegen, kommt auch die Nachprüfung durch betroffene Kläger nur selten in Betracht. Ähnlich verhält es sich mit der effizienten Durchsetzung des Datenschutzrechts. Die Geltendmachung von Auskunftsansprüchen setzt voraus, dass bekannt ist, welche internetbasierten Datenhändler und Scoringagenturen überhaupt Informationen sammeln. Die Bedeutung der Einwilligung mit einer Datenverarbeitung relativiert sich, wenn mit Information überladene Konsumenten mechanisch entsprechende “Häkchen setzen”. Je ungewöhnlicher schließlich die für das Scoring in Bezug genommenen Variablen sind (etwa: wie häufig wird das Telefon aufgeladen), und je weniger der Konsument über die Details des Scoring erfährt, desto geringer ist die Wahrscheinlichkeit gerichtlicher Überprüfung der unterschiedlichen Praktiken. Bei der rechtspolitischen Feinarbeit wird man deshalb behutsam vorgehen müssen. Die Chancen, die datengesättigte und risikogerechte Scoringverfahren bieten, sind gegen Risiken abzuwägen, die mit “biased A.I.” einhergehen, mit Konsumenten, denen die Relevanz ihres digitalen Fußabdrucks für unterschiedliche Lebenswelten nicht deutlich ist und schließlich mit der algorithmengestützten Separierung unterschiedlicher Bevölkerungsgruppen in gute und schlechte Risiken.