Missbrauch der PSD2 Richtlinie stoppen – Datensammelwut der Schufa Einhalt gebieten

Antrag
von Christian Loose, Sven Tritschler
vom 19.01.2021

Antragder AfD-Fraktion vom 19.01.2021

 

Missbrauch der PSD2 Richtlinie stoppen – Datensammelwut der Schufa Einhalt gebieten

I. Ausgangslage

Am 26. November 2020 gab es erste Medienberichte12 über eine testweise Zusammenarbeit von Telefónica Deutschland mit der Vereinigung der deutschen Schutzgemeinschaften für all­gemeine Kreditsicherung (Schufa). Gegenstand der Zusammenarbeit war die Nutzung des neuartigen FinTech-Services „Schufa CheckNow“. Mit Hilfe dieses Services erhielten Verbrau­cher, die Interesse an Telefónica/O2 Produkten und Dienstleistungen hatten, die Möglichkeit, trotz eines negativen Schufa-Eintrags diese Produkte oder Dienstleistungen auf Kreditbasis zu erwerben.

Mit Hilfe eines vom interessierten Kunden initiierten und durch ihn autorisierten Lesezugriffs auf das eigene Konto konnte die Schufa ihrem Kooperationspartner Telefónica – durch erwei­terte Auswertung dessen gesamter Umsätze – eine gesonderte Kreditwürdigkeit des Verbrau­chers bestätigen, auch wenn dieser, dem offiziellen Schufa-Score nach, nicht kreditwürdig ge­wesen wäre.

Dieses Vorgehen ist nach der am 8. Oktober 2015 durch das Europäische Parlament verab­schiedeten Payment Services Directive2 (PSD2) -Richtline3 sowie nach dem am 13. Januar 2018 mittels „Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie“4 in Kraft getrete­nen nationalen Umsetzung der PSD2-Richtline gesetzeskonform und auch datenschutzrecht-lich nicht zu beanstanden.

Was Datenschützer und Verbraucher zur Empörung getrieben hat und treibt, ist die Tatsache, dass neben dem vordergründigen Kontocheck, und damit einer gutmeinenden kurzfristigen Aktualisierung der Bonitätsbewertung, auch die Option für den Kunden bestand, über zwölf Monate hindurch einer Auswertung seiner Kontodaten zuzustimmen, völlig losgelöst vom ei­gentlich initiierten Zweck des Schufa-Services. Diese Option, als Opt-In-Häkchen mit Erläute­rungen in Kleinstschrift, war im Bedienfeld so eingerichtet, dass ein unbedarfter Kunde dieses als Voraussetzung für eine Bonitätsaktualisierung mittels des „SchufaCheck Now“-Services ansah.

Diesen weitreichenden Eingriff in die Privatsphäre des Verbrauchers mit einem der nieder-schwelligsten Opt-In-Optionen auszustatten, ist der eigentliche Skandal, zumal die Verant­wortlichen der Schufa eben auf diese Zufallsklicks spekulierten. So äußerte sich eine Schufa-Vertriebsleiterin in einer Schulung zu SchufaCheckNow: „Ihr Verbraucher wird sich da durch-klicken, weil die Leute faul sind und bequem. Die haben keinen Bock auf sowas, und die wollen einfach den Service haben. Und sie klicken das durch“5.

So ist zu befürchten, dass es die wirkliche Absicht der Schufa bei der Installation ihres Services „SchufaCheckNow“ war, einen Zwölfmonatszugriff auf die Kontodatensätze verschiedener Verbraucher zu erhalten, um damit eigene neue Scoringprodukte, wie etwa Kontoführungs-scores, integrierte Scores sowie sogenannte Affinitätsscores zu evaluieren, zu optimieren und anschließend am Markt zu etablieren.

Durch den vollständigen Lesezugriff auf die Kontoumsätze bestehen nun aber zahlreiche neue Risiken für den Kunden. Die Analyse der Kontoumsätze ermöglicht es der Schufa, Rück­schlüsse auf die Persönlichkeit der Kunden zu ziehen. Kauft der Kunde eventuell häufiger Tabakwaren oder teure Dessous? Oder spendet der Kunde an Unternehmen oder Vereine, die aus Sicht der Gesellschaft einen zweifelhaften Ruf besitzen? Mit der Gesamtauswertung sammelt die Schufa massenweise nicht nur Positiv-, sondern nun auch Negativmerkmale. Schließlich ist im Vorfeld der Kalibrierung nicht bekannt, welche Daten die größte Korrelation zum Kriterium „Rückzahlungswahrscheinlicheit“ bzw. „Ausfallwahrscheinlichkeiten“ besitzt. Gerade der Einsatz von Analysemethoden wie künstlichen neuronalen Netzen, Multiregressi-onsanalysen und ähnlichen Verfahren verführen dazu, grundsätzlich sämtliche Parameter zu betrachten. Diese Auswertung wird für die Verbraucher umso riskanter, je mehr Umsätze diese elektronisch statt mit Bargeld tätigen.

Der vollständige Lesezugriff auf die Konten von Verbrauchern würde es der Schufa ermögli­chen, riesige Datenschätze zu heben. Solche umfangreichen Datensätze stehen bislang nur den Banken und Sparkassen zur Verfügung, die Einblick auf die Kontoumsätze ihrer Kunden haben. So planten schon die Sparkassen über das Tool „Sparkassen-Datalytics“ der Sparkas­sen Rating und Risikosysteme GmbH seit dem Jahre 2017 einen Affinitätsscore: „Auf Basis datenbasierter Algorithmen werden automatisiert relevante Einflussfaktoren auf zukünftige Kaufentscheidungen der Kunden ermittelt. Diese Abschlusswahrscheinlichkeiten und Affini-tätsscores ermöglichen eine effektivere und zielgerichtete Kundenauswahl und -ansprache.“6

Mit dem im Januar 2018 in Kraft getretenen Gesetz zur Umsetzung der Zweiten Zahlungs-diensterichtlinie konnten auch externe Datendienstleister, sogenannte FinTechs, mit Erlaubnis und Lizenz der BaFin über eine standardisierte Kontoschnittstelle auf die Kontodaten der Ver­braucher zugreifen. So entstanden und wuchsen auch deutsche Unternehmen wie etwa das Berliner Bonitätscheckstartup Bonify oder finApi GmbH aus München. Letztere wurde 2018 von der Schufa übernommen; im Januar 2019 bekam finApi GmbH von der BaFin die Lizenz zur Erbringung von Zahlungsdiensten. Damit waren finApi und somit auch die Schufa eines der „ersten Unternehmen in Deutschland mit der Erlaubnis, Kontoinformations- (KID) und Zah-lungsauslösedienste (ZAD) anzubieten“7.

Eine Ausweitung des Gebrauchs und auch eines möglichen Missbrauchs durch Kontoeinsich­ten durch Dritte wurde erst mit der Zahlungsdienstrichtlinie PSD2 aus dem Jahre 2015 möglich. Diese Richtlinie war im Sinne einer Grundlage für verbraucherfreundliche Produkte erstellt und verabschiedet worden.

Leider wurde weder in der europäischen Zahlungsdiensterichtlinie PSD2 noch in der nationa­len Umsetzung (Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie v. Juli 20178) geregelt, wie Kontodaten der Verbraucher im Anschluss dieser Dienstleistung verarbeitet bzw. gelöscht werden sollen/müssen.

Diese Lücke und auch die lebensfremden Vorgaben in der DSGVO (Click-Konditionierung der Verbraucher als Folge der Cookie-Hinweispflicht mit Opt-In-Option) – ob beabsichtigt oder un­beabsichtigt – wurden nun von der Schufa in ihrem Sinne ausgenutzt.

Es ist Aufgabe der Politik, nicht zu beklagen, sondern zu berichtigen – in diesem Falle die Gesetze, die diesen Datenskandal erst ermöglicht haben.

II. Der Landtag stellt fest, dass

  1. eine Datenauswertung von Kontobewegungen für Scoringzwecke Rückschlüsse auf die Persönlichkeit, den wirtschaftlichen Status, die Vorlieben und Interessen und sogar auf die politische Orientierung der Kunden ermöglicht;
  2. durch die seit der DSGVO-Einführung vorhandene massenhafte Click-Konditionierung der Kunden diese ein geringeres Risikobewusstsein bei der Auswahl von „Bedingungen“ im Internet entwickelt haben;
  3. neben rechtlichen Fragen nun auch die schutzwürdigen Interessen der Kunden mehr in den Vordergrund rücken müssen, damit Kunden nicht durch gewohnheitsmäßiges „Klicken“ plötzlich zum gläsernen Menschen werden;
  4. eine Evaluierung der PSD2-Richtlinie und der Datenschutzgesetze im Hinblick auf erste kritische Erfahrungen notwendig ist.

III. Der Landtag fordert die Landesregierung auf,

  1. sich auf allen Ebenen im Rahmen der anstehenden Evaluierung der PSD2 und ihrer na­tionalen Umsetzung bei der Europäischen Kommission für eine Stärkung der Ver­braucherrechte einzusetzen, mit dem Ziel, dass Drittanbietern wie Finanz-Start-ups, die Einblick auf Konten bekommen sollen, zukünftig nur unter neu zu definierenden und na­chgeschärften Voraussetzungen eine Einwilligung erteilt werden kann; damit soll das Risiko der voreilig erteilten Einwilligung beim Durchklicken des Online-Antrags durch ein unbedacht gesetztes Häkchen minimiert werden;
  2. sich auf allen Ebenen im Rahmen der anstehenden Evaluierung der PSD2 und ihrer na­tionalen Umsetzung bei der Europäischen Kommission dafür einzusetzen, dass die im PSD2-Regelwerk von den Unternehmen ausgenutzten Spielräume, die wegen der nicht hinreichenden Regelung der Nutzung erlangter Daten möglich sind, als systemwidrig an­zusehen sind, und diesen Auswüchsen entgegenzutreten;
  3. sich auf allen Ebenen im Rahmen der anstehenden Evaluierung der PSD2 und ihrer na­tionalen Umsetzung bei der Europäischen Kommission dafür einzusetzen, dass eine ausreichende Aufklärung anlässlich der Erteilung von Einwilligungen zur Datenverarbei­tung stattfindet. Insbesondere ist dabei verstärkt auf die individuellen Bedürfnisse der Ver­braucher zu achten, sodass auch der Bildungsstand, Sprachkenntnisse und Sensibilisier-ung für Risikoabschätzung ihre Berücksichtigung finden.

Christian Loose
Sven Tritschler
Andreas Keith

und Fraktion

 

Antrag als PDF

 

1 https://daserste.ndr.de/panorama/archiv/2020/Bankgeheimnis-Schufa-will-Konten-ausfor-schen,schufa166.html

2 https://www.sueddeutsche.de/wirtschaft/schufa-superscore-kontoauszug-konto-horror-1.5128963

3 https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32015L2366&from=DE

4 https://www.bmjv.de/SharedDocs/Gesetzgebungsverfahren/Dokumente/BGBl_UmsetzungG_2.-ZahlungsdienstleistungsRiLi.pdf?__blob=publicationFile&v=3

5 https://daserste.ndr.de/panorama/archiv/2020/Bankgeheimnis-Schufa-will-Konten-ausfor-schen,schufa166.html

6 https://www.s-rating-risikosysteme.de/export/sites/www.s-rating-risikosysteme.de/_download_gallery/SR-Taetigkeitsbericht-2017.pdf

7 https://www.finapi.io/finapi_bafin-lizenz/

8  §51 Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie https://www.bundesfinanzministe-rium.de/Content/DE/Downloads/Gesetze/2017-07-21-G-z-Umsetzung-d-Zweiten-Zahlungsdienstericht-linie.pdf? blob=publicationFile&v=2

Beteiligte:
Christian Loose, Sven Tritschler
Facebook-f Youtube Twitter Instagram Tiktok Telegram-plane