4. Datenmanagement
4.1 Recht auf Vergessenwerden versus Verfügbarkeit
Wer digitale Informationen über sich preisgibt, will oft nicht, dass diese für immer
verfügbar sind. Deshalb wurde die Idee entwickelt, elektronisch gespeicherte Daten mit
einem „Verfallsdatum“ auszustatten. Nach Ablauf soll die Information automatisch
gelöscht werden. Die EU-Datenschutzgrundverordnung sieht stattdessen eine Art Recht
auf Löschen vor. Ist der Zweck der Speicherung nicht mehr gegeben oder widerruft die
betroffene Person ihre Zustimmung zur Speicherung, müssen die Daten gelöscht
werden. Die praktische Umsetzung des Rechtes stößt allerdings auf grundsätzliche,
rechtliche und technische Probleme.
Grundsätzlich steht das Recht auf Löschen bestimmter Daten im Konflikt mit dem
Recht Anderer, auf diese Daten zuzugreifen. Das peinliche Foto einer Privatperson muss
offenbar anders behandelt werden als der kritische Bericht über eine öffentliche Person.
Ein nationales oder europäisches Recht auf Löschen ist international kaum durchsetzbar.
So setzt Google das Recht auf Löschen nur auf seinen europäischen Domains um. Wer
also bestimmte Daten auf „google.de“ erfolglos sucht, findet sie oft auf „google.com“.
Technisch verschwinden Daten, die einmal irgendwo gespeichert wurden, nicht mehr.
Metaphorisch ausgedrückt: Ist der Geist erst einmal aus der Flasche, will er nicht wieder
hinein. Nehmen wir an, Alice verbreitet ein Bild von sich. Bob betrachtet es auf seinem
Gerät. Nach Ablauf des Verfallsdatums soll das Bild (auch) von Bobs Rechner gelöscht
werden. Daten sind Folgen von Bits, die beliebig kopiert und überall abgespeichert
werden können. Daran scheiterte auch die X-pire! Software, die als „digitaler
Radiergummi“ in der Presse Aufsehen erregte. Mit X-Pire! wurden die Daten
verschlüsselt verschickt. Zum Betrachten besorgte die X-Pire! Software den Schlüssel
vom Server und entschlüsselte das Bild. Das Löschen des Schlüssels vom Server führte
dazu, dass das Bild nicht mehr betrachtet werden konnte. Leider kann man Verfahren
wie X-pire! dadurch umgehen, dass man den Schlüssel, wenn man das Bild erstmals
betrachtet, selbst speichert.
Technisch möglich ist eine Hardwarelösung, bei der ein Teil (das „Trusted Plattform
Module“, TPM) von Bobs Computer unter der Kontrolle von Alice oder einer anderen
Partei steht. Das TPM sorgt dafür, dass das Bild gelöscht wird oder zumindest nicht
mehr angezeigt werden kann. Leider kann nun Alice oder jene andere Partei alles
kontrollieren, was Bob je zu sehen bekommt (das bereits erwähnte grundsätzliche
Problem). Die digitale Souveränität von Alice, ihre Daten „löschen“ zu können, geht zu
Lasten von Bob, der wichtige Aspekte seiner digitalen Souveränität verliert.


                                           25

Trotzdem kann das Recht auf Vergessenwerden (bzw. auf Löschen) plausibel
durchgesetzt werden, wenn man annimmt, das Bob das System nicht aktiv unterläuft.
Man kann Daten mit Verfallsdatum verbreiten, und Bob kann freiwillig Software
einsetzen, die diese Daten nach ihrem Ablauf löscht. So werden im Snapchat-Netzwerk
Daten verschickt, die sich kurz nach dem Anschauen wieder löschen. Snapchat weist
selbst darauf hin, dass es ohne weiteres möglich ist, die Löschfunktion auszuhebeln.
Doch weil der wesentliche Sinn des Netzwerkes im Verschicken und Empfangen
flüchtiger „Snaps“ besteht, haben die Nutzer kaum Bedarf, diese Daten dauerhaft zu
speichern. Inwieweit sich dieser Ansatz allerdings auf andere soziale Netzwerke
übertragen lässt, ist unklar.

4.2 Bezahlen mit Daten
Viele Verbraucher wissen, dass ihre Daten von den Anbietern „kostenloser“ Dienste im
Internet für gezielte Werbung genutzt werden. Das wird von manchen sogar positiv
gesehen: Wenigstens bekommt man Werbung für Dinge, für die man sich interessiert.
Leider ist die Vermutung falsch, dass die Daten nur für gezielte Werbung genutzt
werden. Tatsächlich kann man Kundendaten auch ohne Werbung zu Geld machen.
Deshalb erlaubt zum Beispiel WhatsApp seinen Kunden, der Nutzung ihrer Daten für
Facebook-Werbung zu widersprechen. Die Daten werden trotzdem an Facebook
weitergegeben – um sie zwar nicht zur Werbung, aber für andere Zwecke zu nutzen.
Unter anderem nutzen soziale Netzwerke die Daten ihrer Nutzer natürlich auch zur
Vergrößerung des Netzwerkes. Das ist nicht immer harmlos. So waren nicht alle
Patienten einer Psychiaterin davon begeistert, dass sie von Facebook eingeladen
wurden, sich untereinander zu befreunden. Aber die Telefonnummer der Psychiaterin
war in den persönlichen Telefonbüchern der Patienten und konnte von Facebook
ausgewertet werden.
Ansonsten gilt: Daten sind Macht! Die Macht der Daten erlaubt (oder erleichtert) unter
anderem Algorithmic Pricing: Ein Online-Shop kann verschiedenen Kunden die
gleiche Ware (oder Dienstleistung) zu unterschiedlichen Preisen anbieten. Dem
passionierten Käufer von Apple-Produkten könnte man das neueste iPhone teurer
anbieten. Kunden, die in der Vergangenheit offenbar Preisvergleiche betrieben haben,
ohne auf die Versandkosten zu achten, könnte man entsprechend ein „billiges“ Angebot
mit einer besonders großen Versandkostenpauschale machen.
Die Macht der Daten ermöglicht auch Scoring. Unternehmen nutzen Daten, um
Personen zu bewerten, z. B. für die Kreditvergabe, für Versicherungen usw. Sogar
potentielle Arbeitgeber könnten ein Scoring der Bewerber einfordern. Mit Scoring ist
Geld zu verdienen, also werden Daten zum Scoring genutzt. Das Pikante am Scoring ist,


                                         26

dass die Betroffenen fast nie wissen, dass sie betroffen sind! Warum hat die
Lebensversicherung ihnen kein Angebot gemacht oder nur eines mit Risikozuschlag?
Warum hat ein potentieller Arbeitgeber die Bewerbung abgelehnt?
Schließlich bringen die Daten auch politische Macht. Egal, ob Internet-Konzerne wie
Google oder Facebook diese Macht zur Zeit anstreben oder nicht: Wer die Vorlieben
einer Person kennt, wer weiß, worüber sich die Person aufregt und worüber nicht, …
der hat einiges an Macht über diese Person. Diese Macht birgt ein erhebliches
Missbrauchspotential.

4.3 Lösungsvorschlag: Das Recht auf Vergessenwerden in
sozialen Netzwerken
Grundsätzlich sollte es in allen sozialen Netzwerken möglich sein, Daten zu verschicken
(Bilder, Filme oder Texte), die ein Verfallsdatum haben und danach von der Software
(also der App) automatisch gelöscht werden. Dabei sollte man allerdings kein hohes
„Sicherheitsniveau“ erwarten oder anstreben. Wer die Löschfunktion aushebeln und die
Daten kopieren kann, kann es tun. Wir gehen davon aus, dass typische Nutzer wenig
Bedarf haben, Bilder, Filme oder Texte dauerhaft zu speichern, von denen der Absender
nicht will, dass sie dauerhaft gespeichert werden. Technisch wäre es sehr einfach, eine
solche Lösung umzusetzen.


Bleibt die Frage, wie man mit Dateien umgeht, bei denen man nicht a priori ein
Verfallsdatum nennen, bei denen man aber auch nicht sofort, wenn man sie verbreitet,
für immer auf das Recht auf Löschen verzichten möchte. Wir schlagen vor, ein
Standard-Verfallsdatum zu wählen, z. B. ein Jahr nach Veröffentlichung. Dies entspricht
der Idee der privacy by default. Für diese Dauer können die Dateien dann auf dem
Rechner des Empfängers gespeichert werden. Das Verfallsdatum verlängert sich
automatisch, wenn der Absender beim Erreichen des Standard-Verfallsdatums die Datei
nicht selbst von seinem eigenen Gerät gelöscht hat.




                                          27

5. Recht auf Wahl der Darstellung
Bei klassischen Medien gibt es nur eine mögliche Darstellung für den Konsumenten.
Einen Text, der auf Papier geschrieben ist (oder auf auch Papyrus, Pergament, …) kann
man nur in genau der Qualität lesen, in der der Text geschrieben ist (Schriftart, Größe,
…). Immerhin ist es dem souveränen Leser eines geschriebenen Textes möglich, beim
Lesen Zeilen, Absätze oder Seiten des Textes zu überspringen oder zu bereits gelesenen
Teststellen zurückzukehren.
Mit der Digitalisierung von Texten – und anderen medialen Inhalten – geht potentiell
eine Stärkung der Souveränität des Medienkonsumenten einher. Digitale Texte kann
man sich grundsätzlich in der Schriftart und -größe anzeigen lassen, die den eigenen
Sehgewohnheiten und den Möglichkeiten des Anzeigegerätes entspricht. Das ist ein
wesentlicher Beitrag zur Barrierefreiheit der digitalen Medien, aber auch ein Ausdruck
der digitalen Souveränität der Verbraucher überhaupt.
Rechtliche oder technische Maßnahmen, die dazu dienen, den Nutzern digitaler Medien
die so gewonnene Freiheit der Darstellung wieder zu nehmen, sind verbraucherfeindlich
und schränken massiv die Barrierefreiheit ein. Einschränkungen bei der Wahl der
Darstellung enthalten den Verbrauchern wichtige Vorteile vor, die die Nutzung digitaler
Medien gegenüber der Nutzung analogen Medien mit sich bringt. Unter Umständen sind
die Verbraucher bei der Nutzung digitaler Medien dann sogar schlechter gestellt, als bei
der Nutzung analoger Medien. Deshalb darf es grundsätzlich keine künstlichen
Einschränkungen für die Wahl der Darstellung bei digitalen Medien geben!
Dieser Grundsatz gilt auch für Werbung. Natürlich haben Medienanbieter das Recht, ihr
Angebot mit Werbung zu finanzieren. Umgekehrt haben Verbraucher aber das Recht,
diese Werbung zu ignorieren. Das ist zum Beispiel bei gedruckten Zeitungen
selbstverständlich: Entweder der Zeitungsleser findet die Werbung interessant. Oder er
blättert weiter. Technisch ist es ohne weiteres möglich, beim Lesen einer digitalen
Zeitung den Nutzer praktisch dazu zu zwingen, die Werbung zur Kenntnis zu nehmen.
Zum Beispiel kann man den nächsten Artikel erst anzeigen, wenn die Werbung eine
angemessene Zeit lang angezeigt wurde. Oder man kann einen Teil des Bildschirms für
Werbung reservieren, die der Verbraucher nicht „weg-klicken“ kann. Tatsächlich ist das
heute bereits die Arbeitsweise aggressiver „Pop-Ups“ auf manchen Webseiten.
Gesetzgeberisch sehen wir in diesem Punkt keinen aktuellen Handlungsbedarf. Jede
Technologie, die die Digitale Souveränität der Verbraucher behindert, kann durch eine
andere Technologie gekontert werden, die die Digitale Souveränität der Verbraucher
wiederherstellt. Gegen aggressive „Pop-Up“ Werbung, zum Beispiel, helfen „Add-
Blocker“. Technologien wider Digitale Souveränität und Technologien für Digitale

                                          28

Souveränität schaffen in diesem Fall einen vernünftigen Interessenausgleich zwischen
den Anbietern von Medien und den Verbrauchern.
Wichtig ist es jedoch, mögliche gesetzgeberische Initiativen zum Verbot jener
Technologien zu verhindern, die der Digitalen Souveränität der Verbraucher dienen.
Neben den bereits genannten „Ad-Blockern“ könnte dies zum Beispiel Software
betreffen, die den Kopierschutz von Medien umgeht oder entfernt, um Soft- oder
Hardware, um Werbeblöcke bei aufgezeichneten Fernsehsendungen zu überspringen .
Die Nutzung derartiger Technologien für die Digitale Souveränität der
Verbraucher darf nicht eingeschränkt oder gar verboten werden.
Angesichts einer kontinuierlichen (und grundsätzlich legitimen) Lobby-Arbeit
zugunsten der Medienarbeiter, mit dem Ziel, die Nutzung derartiger Technologien zu
verbieten, könnte die Aufgabe, derartige Verbote zu verhindern, zu einer Daueraufgabe
für den Verbraucherschutz werden.




                                         29

6. Scoring
Beim Scoring werden Massendaten früherer Fälle von Kredit- oder
Versicherungsverläufen auf statistische Korrelationen zwischen Input (Alter,
Geschlecht, Einkommen usw.) und Output (z.B. Kreditrückzahlung, Versicherungsfall)
hin untersucht. Dafür wird eine Fülle von zumeist qualitativen Faktoren auf ein
Punktesystem abgebildet und auf einer standardisierten Skala vergleichbar und
berechenbar gemacht. Aus einer großen Zahl empirischer Daten werden statistisch
Gruppen gebildet, die mit einer bestimmten Eintreffenswahrscheinlichkeit des
fraglichen Ereignisses korreliert sind. Die Kunst bei dieser Risikoabschätzung liegt
somit in der Identifikation von relevanten Faktoren und in ihrer Gewichtung für die
Korrelation mit zukünftigen Ereignissen. Die Daten eines zu prüfenden Einzelfalls
werden dann einer dieser standardisierten Gruppen zugeordnet, in der Erwartung, dass
das Ereignis sich in diesem Einzelfall mit der gleichen Wahrscheinlichkeit einstellt, wie
im Fall dieser Gruppe.
In einem dritten Schritt werden aus dieser errechneten Risikoabschätzung
Entscheidungen abgeleitet, ob das Risiko eingegangen und wie es ggf. abgesichert
werden soll. Die Schufa sagt nur: 'Das Risiko ist x von 100.' Die Vergabeentscheidung
trifft der Sachbearbeiter einer Bank. Scoring verhindert also keine Kredite oder
Versicherungen, entscheidet aber über ihren Preis. Während Sparkassen risikoarm
vergeben, spezialisieren sich andere Geldinstitute auf Risikokunden und nehmen
entsprechend hohe Zinsen. Scoring dient als Entscheidungshilfe. Die Entscheidungen
treffen bislang meist noch Menschen, jedoch zunehmend Algorithmen. Mit der
Digitalisierung nehmen Quellen, Mengen und Verknüpfbarkeit von Daten, die für eine
Risikoabschätzung relevant sein können, unaufhörlich zu. Statt weniger statischer
Datenpunkte kann Scoring jetzt auf umfassende Datenströme in Echtzeit angewendet
werden. Folglich nimmt der Einsatz von Scoring in unterschiedlichen Feldern zu.
Am bekanntesten ist das Kredit-Scoring, das Vorhersagen über die Wahrscheinlichkeit
einer Kreditrückzahlung treffen soll. Diese Form der Bonitätsprüfung wird aber auch für
Kauf auf Rechnung im Online-Versandhandel, Ausstellung einer Kreditkarte,
Mobilfunk- und Mietverträge vorausgesetzt. Banken, Kreditkartenunternehmen,
Versandhändlern, Telekommunikationsunternehmen erstellen ihre eigenen Scores oder
greifen auf die Dienstleistungen von Wirtschaftsauskunfteien wie der Schufa zurück.
Versicherungsgesellschaften versuchen bereits seit der Verbreitung von Personenwaagen
in den 1860er Jahren, Normwerte für ein gesundes Körpergewicht für die
Risikoabschätzung und Kostenkalkulation zu verwenden. Im Zuge des aktuellen
Selbstvermessungs-Trends für Gesundheit, Fitness, Ernährung, auch bekannt als


                                           30

mHealth, werden immer häufiger Smartphone-Apps verwendet als Schrittzähler,
Laufprogramme, Body-Mass-Index-Rechner, Diet Tracker, Mood-Manager oder
Selbstdiagnose-Tool. Neben den hauseigenen Ortungs-, Bewegungs- usw. Sensoren von
Smartphones erweitern Smartwatches, Fitnessarm- und Brustbänder, Schlafsensoren
und andere Wearables bis hin zu Implantaten die Messmöglichkeiten.
Auch Kraftfahrzeugversicherungen bieten sogenannte Telematik-Tarife an, bei denen
aus gemessenen Verhaltensdaten Risiko-Scores für Unfälle und damit der
Versicherungspreis berechnet wird. Auch hier sammeln und versenden Sensoren im
Smartphone oder in speziellen im Auto montierte Blackboxen Daten über die
Geschwindigkeit auf der jeweiligen Straße, schnelles Bremsen und Beschleunigen,
Pausen auf langen Fahrten usw.
Eine Strategie für das Scoring junger Neukunden, die noch keine Fahr- bzw.
Kreditgeschichte haben, beruht nicht auf Verhaltensmerkmalen, sondern auf
Charaktereigenschaften. Diese sollen mit Hilfe von linguistischen Analysen der
Äußerungen auf Social-Media-Plattformen erhoben werden. Admiral, eines der größten
britischen Versicherungsunternehmen, plant mit Firstcarquote, sich von Anwärtern den
Zugriff auf ihre Facebook-Accounts geben zu lassen. Ihre Textäußerungen werden dann
nach Anzeichen untersucht, ob sie gewissenhaft und gut organisiert sind oder allzu
selbstsicher auftreten. Diese Charakterdaten werden dann mit älteren
Versicherungsfällen verknüpft, um Risikowahrscheinlichkeiten zu berechnen und das
Risiko, d. h. die Versicherungsprämie, einer Antragstellerin zu kalkulieren. Wer sich auf
den Charaktertest einlässt, könne bis zu 400 Euro im Jahr sparen (Ruddick, Guardian
02.11.16). Auch das britisches Startup Tenant Assured schätzt die Bonität von Mietern
anhand ihres Social Media Verhaltens ein (Wagener, Nerdwärts 22.06.2016).
Die Markteinführung eines Score-basierten Produktes wird in der Regel von einem
Fairness-Diskurs begleitet. Scoring schütze Verbraucher vor Überschuldung. Es sorge
für niedrigere Preise, da es Unternehmen vor Zahlungsausfällen schütze. Eine
verhaltensbezogene Preisdifferenzierung verhindere, dass z. B. vorsichtige Autofahrer
Risikogruppen quersubventionieren. Schließlich erlaube Scoring, dass junge Kunden
ohne Kreditgeschichte und andere Risikogruppen überhaupt einen Kredit oder eine
Versicherung erhalten. Und natürlich ist die Selbstüberwachung strikt freiwillig und
werde ausschließlich für Boni für risikominderndes Verhalten, nie aber für
Strafzahlungen für riskantes Fahren oder zu langes Sitzen am Schreibtisch verwendet.
Überdies suggerieren Quantifizierung und Statistik Objektivität. Menschen mögen ihre
Vorstellungen haben über den Zusammenhang von Geschlecht und Fahrsicherheit,
Migrationshintergrund und Kreditrückzahlung, Armut und Krankheitsrisiko.
Algorithmen dagegen haben keine Vorstellungen. Sie suchen nach statistischen


                                           31

Korrelation verschiedener Datenpunkte. Die Verfahren, wird stets betont, basierten auf
wissenschaftlich fundierten Analysen und der „Unterstützung durch führende
akademische Einrichtungen“ (Generali, Pressemitteilung zur Einführung der Telematik-
Versicherung Vitality). Auch die Schufa hebt hervor: „Kreditscores sind frei von
subjektiven – und daher möglicherweise diskriminierenden – Faktoren, wie z. B.
Herkunft, Religion oder Behinderung.“ (Schufa: Was ist Scoring?)

6.1 Datensparsamkeit und Zweckbindung
Scoring bildet seiner Natur nach
       „ein Spannungsverhältnis zwischen Informationsbedürfnissen für die
       Prognose von Kreditrisiken auf der einen Seite und dem Datenschutz auf der
       anderen: Je detailliertere Informationen über einzelne Verbraucher
       vorliegen, desto besser wird die Krediterfüllungsprognose, aber desto mehr
       wird auch in die Privatsphäre eingegriffen.“ (Schröder/Taeger 2014: 15)

Je mehr Informationen, desto besser die Prognose – dieser Zusammenhang liegt der
Methode Scoring systematisch zugrunde. Scoring zielt also seinem Wesen nach auf das
Gegenteil von Datensparsamkeit. Auch den verfassungsrechtlich begründeten
Grundprinzipien der Erforderlichkeit und der Zweckbindung widerspricht Scoring
systematisch. Fahrzeug-, Trainingsdaten, Posts auf Social Media werden nicht zu dem
Zweck produziert, Prädiktoren für Risiken, d.h. Faktoren für die Preisdifferenzierung zu
liefern. Was technisch machbar und wirtschaftlich erfolgversprechend ist, dem soll der
Datenschutz nicht im Weg stehen, so sehen es Teile der Bundesregierung. Kanzlerin
Merkel (Weichert/Schuler 2015: 3), Wirtschaftsminister Gabriel (Krempl 19.11.2015)
und Infrastrukturminister Dobrindt (Krempl 17.11.2016) singen das gleiche Lied wie
der Bitkom: Die Deutschen sollten ihre Datenschutz-Bedenken fallen lassen. Big Data
sei der Rohstoff der Zukunft. Wertschöpfung entstehe künftig aus der Nutzung von
Kundendaten. Datensparsamkeit und Zweckbindung hätten sich überholt. Stattdessen
müsse „Datenreichtum“ und „Datensouveränität“ statt Datenschutz der Maßstab der
Politik sein.
       Die Rhetorik vom Datenschutz als Innovationshindernis muss einem klaren
        Bekenntnis zur Sicherung von informationellen Grundrechten weichen. Die
        wirtschaftliche Erschließung des Rohstoffs Nutzerdaten darf nicht auf Kosten
        von unverzichtbaren Schutz- und Freiheitsrechten gehen. Justizminister Maas
        hat vor einem Jahr die Debatte über eine Charta der digitalen Grundrechte (Maas
        10.12.2015 eröffnet. Nach dem brasilianischen Vorbild der breiten
        gesellschaftlichen Debatte über den Marco Civil da Internet (24.04.2014)
        geführt, bietet sie die Chance, die Grundrechteorientierung der Bevölkerung wie
        der Bundesregierung zu stärken.

                                          32

   Akademische Datenforschung muss möglich bleiben, unter besonderes
       gesicherten     Laborbedingungen.      Die    wissenschaftliche Anerkennung
       mathematisch-statistischer Verfahren und der Nachweis, dass die genutzten
       Daten für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens
       erheblich sind, ist Bedingung für die Zulässigkeit von Scoring (§ 28b BDSG).
      Bevor jedoch aus einer Laborerkenntnis ein Produkt werden kann, das im
       Freilandversuch getestet werden darf, hat eine Ethikkommission darüber zu
       befinden. Genauso, wie über den Einsatz von möglicherweise hilfreichen, sicher
       aber einschneidenden Technologien wie Gen- oder Reproduktionstechnik die
       Gesellschaft entscheidet und nicht der Markt.
      Dabei werden Grenzen auszuhandeln sein. In der Facebook Platform Policy
       schreibt das Unternehmen App-Entwicklern vor: „3.15. Don't use data obtained
       from Facebook to make decisions about eligibility, including whether to approve
       or reject an application or how much interest to charge on a loan.“ Die
       Vermutung liegt nahe, dass Facebook damit nicht die Interessen von
       Verbrauchern schützen, sondern dieses Geschäftsmodell sich selber vorbehalten
       will. Andererseits gibt es gute Gründe, dass auch eine verfassungsrechtliche
       Abwägung der Auswirkungen von Social-Media-Scoring auf das Grundrecht der
       freien Meinungsäußerung ein solches Verwertungsverbot normieren würde.
      Opt-In ist eine unumgängliche Voraussetzung, aber nur ein Teil der Lösung. Die
       Bereitschaft, Daten gegen Rabatte preiszugeben, ist bei etwa 30% der deutschen
       Bevölkerung vorhanden (YouGov 2015). Sie müssen sich darauf verlassen
       können, dass auch in dem Fall Privacy by Design als digitale Daseinsvorsorge
       öffentlich gewährleistet wird.
      Ein Mittel dafür ist die Zertifizierung durch unabhängige Stellen: Nur so haben
       Verbraucher die Chance, sich darauf verlassen zu können, dass da, wo
       „vertrauenswürdig“ draufsteht, auch Vertrauenswürdiges drin steckt (anders als
       bei der Browser-Erweiterung „Web of Trust“, die vorgibt, dem Nutzer dabei zu
       helfen, sicher zu surfen (NDR 01.11.2016)).

6.2 Datenqualität
Ohne aktuelle und richtige Daten kann eine Datenanalyse keine brauchbaren Ergebnisse
liefern. Was in der Informatik als false positives und false negatives bekannt ist, sind für
die Wirtschaft entgangene oder getätigte, aber gescheiterte Geschäfte. Wenn öffentliche
und nicht-öffentliche Stellen Daten ohne Kenntnis des Betroffenen erheben, muss dieser
über die Speicherung, die verantwortliche Stelle sowie die Zweckbestimmungen der
Datenverarbeitung unterrichtet werden (§§ 19a, 33 BDSG). Überdies hat die

                                            33

verantwortliche Stelle dem Betroffenen auf Verlangen Auskunft zu erteilen über die zu
seiner Person gespeicherten Daten, die Herkunft dieser Daten, die Empfänger, an die
Daten weitergegeben werden, und den Zweck der Speicherung (§§ 19, 34 BDSG).
Unrichtige Daten sind zu berichtigen; unzulässig gespeicherte und für den Zweck nicht
mehr erforderliche Daten sind zu löschen oder, soweit ihre Richtigkeit vom Betroffenen
bestritten wird, sich aber weder die Richtigkeit noch die Unrichtigkeit feststellen lässt,
zu sperren (§§ 20, 35 BDSG). Beim Scoring schließt der Auskunftsanspruch die
innerhalb der letzten sechs Monate erhobenen Wahrscheinlichkeitswerte sowie die zu
ihrer Berechnung genutzten Datenarten ein, nicht aber die Daten selbst (34 Abs. 2
BDSG).
      Um aufgrund falscher Daten zustande gekommene Entscheidungen anfechten
       und Daten korrigieren zu können, muss ein Betroffener Auskunft über alle in
       den Score eingegangenen Daten erhalten, nicht nur über Datenarten. Der
       Anspruch richtet sich an die für die Berechnung des Wahrscheinlichkeitswertes
       verantwortliche Stelle.

6.3 Algorithmenqualität
Bei Verbrauchern stellt sich zunehmen das Gefühl ein, vollkommen transparent für
Institutionen zu sein, die selber vollkommen intransparent Entscheidungen über sie
treffen. Die Datenmodelle und die Gewichtung der Faktoren beim Scoring sind geheim.
Kanzlerin Merkel äußerte jüngst bei den Medientagen in München, „dass Algorithmen
transparenter sein müssen, sodass interessierten Bürgern auch bewusst ist, was
eigentlich mit ihrem Medienverhalten und dem anderer passiert.“ Der netzpolitische
Sprecher der Unionsfraktion, Thomas Jarzombek, korrigierte: „Die Kanzlerin meint
sicher nicht, dass die Firmen ihre Geschäftsgeheimnisse offenlegen sollen. Aber wir
brauchen mehr Informationen von Betreibern wie Facebook darüber, wie ihr
Algorithmus im Großen und Ganzen funktioniert.“ (Reinbold, 26.10.2016). Rechtlich
muss die für eine auf Scoring basierende Entscheidung verantwortliche Stelle Auskunft
erteilen über „das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte
einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form.“ (34 Abs. 2
Pkt. 3 BDSG).
Die Schufa erklärt, warum sie ihren Gewichtungsalgorithmus grundsätzlich nicht
transparent machen kann: Seine Kenntnis würde 1. betrügerische Manipulationen
ermöglichen und 2. Konkurrenten erlauben, das Verfahren zu kopieren. Sie verweist
dazu auf eine Studie über die Gefahren transparenter Scores, (Róna-Tas/Hiß 2008) die
einen Zusammenhang zwischen der Subprime-Hypothekenkrise und manipulierbaren
Scores in den USA zeigt.



                                           34