Simon Henseler von der Universität Zürich hielt zum Abschluss seines Forschungsaufenthaltes am 29.09.2021 einen Vortrag zur der datenschutzrechtlichen Zulässigkeit von automatisierten Kreditwürdigkeitsprüfungen (Kreditscoring) im Vergleich zwischen schweizerischem und europäischem Datenschutzrecht.
Einleitend ordnete Herr Henseler die aktuelle praktische Relevanz des Kreditscorings ein, das insbesondere durch die in Online-Shops vielfach angebotenen Ratenzahlungen und ähnlichen Zahlungsmethoden an Bedeutung gewonnen hat. Fragt ein Kunde einen solchen Kredit an, muss der Händler eine informierte Entscheidung über die Kreditwürdigkeit treffen können. Hier kommen die Auskunfteien ins Spiel, deren System in drei Phasen funktioniert: Zunächst beschafft, speichert und systematisiert die Auskunftei die relevanten Daten und entwickelt mit ihnen ein Modell, mit dem aussagekräftige Ergebnisse über die Kreditwürdigkeit einer Person gewonnen werden können. Bekommt die Auskunftei dann eine Anfrage durch einen potenziellen Kreditgeber, berechnet dieses Modell einen Kreditscore, der dem Kreditgeber in der dritten Phase als Grundlage für dessen Entscheidung über die Kreditvergabe bekannt gemacht wird.
Anschließend folgte eine Erläuterung der Gliederung der Dissertation durch Herrn Henseler. Nach einem Überblick über die weltweite Praxis des Kreditscorings und einer tiefergehenden Erklärung des schweizerischen Systems, folgt sodann eine datenschutzrechtliche Untersuchung der Scoringsysteme als synoptischer Vergleich zwischen der Rechtslage nach dem schweizerischen DSG und der europäischen DSGVO. Neben einer Auseinandersetzung mit den materiell-inhaltlichen sowie formellen, insbesondere das Verfahren betreffenden Vorgaben, liegt der Fokus hier auf der datenschutzrechtlichen Zulässigkeit der aktuellen Praxis nach den jeweiligen Rechtsordnungen. Dabei ist der unterschiedliche Ansatz des DSG und der DSGVO zu beachten: Während ersteres eine Erlaubnis mit einem Verbotsvorbehalt vorsieht, folgt letztere dem Verbotsprinzip mit Erlaubnisvorbehalt. Letztlich nähern sich beide Systeme aber durch eine auch im schweizerischen Recht durchzuführende Rechtfertigungsprüfung im Falle von Persönlichkeitsrechtsverletzungen durch die Datenverarbeitung wieder an.
Nach Abschluss des Vortrags folgte dann eine angeregte Diskussion der Zuhörer und insbesondere Professor Thomas Hoeren mit dem Vortragenden. Hier fand ein intensiver Austausch über die Rolle des Verbots automatisierter Einzelentscheidungen gem. Art. 22 DSGVO (falls dieser überhaupt ein solches Verbot darstellen sollte) und der neuen Regeln der Europäischen Kommission für den rechtssicheren Einsatz von KI statt.
Wir danken Herrn Henseler herzlich für seinen hochinteressanten Vortrag, der durch die vielen durchdachten Diskussionsbeiträge der Zuhörenden nur umso erkenntnisreicher wurde, und hoffen, dass er seinen Forschungsaufenthalt am ITM in guter Erinnerung behalten wird.