# Einführung
Seit einigen Wochen wird über die Einführung von Einschränkungen des Scoring-Modells bei der automatischen Prüfung der Kundenbonität und der Kreditrisikoanalyse im Bankengesetz diskutiert.
# Wer ist von der Beschränkung der Punktevergabe betroffen?
Die Regelung findet sich im Bankwesengesetz (Artikel 105 Absatz 1a und 1b des Bankwesengesetzes) und gilt für "Banken, sonstige gesetzlich zur Kreditgewährung befugte Institute, Kreditinstitute". Das heißt, dass sie sicherlich gelten soll für Banken i Kreditinstitute. Dieser Entwurf schränkt Bank-Faktoren (dieselbe Aktiengesellschaft mit Factoring-Abteilung) ein und verschafft Faktoren in Form von separaten Nicht-Bank-Unternehmen, einschließlich Tochtergesellschaften, nicht verbundenen Unternehmen, Fintechs usw. einen Vorteil. Diese Unternehmen können nach wie vor ihre Scoring-Modelle entwickeln, oder zumindest werden sie durch die Änderungsentwürfe in ihrer derzeitigen Fassung nicht daran gehindert.
# Stand der Arbeiten
Der Gesetzentwurf zur Änderung bestimmter Gesetze im Zusammenhang mit der Sicherstellung der Anwendung der RODO-Verordnung (Drucksache Nr. 3050) befindet sich nach der ersten Lesung in der Phase der Fertigstellung im Ausschuss. Der Stand der Arbeiten kann verfolgt werden hier. Der außerordentliche Unterausschuss hat vor einigen Tagen seinen Bericht vom 18.01.2019 veröffentlicht, der 231 Seiten umfasst und de facto eine Wiederholung des Inhalts des Entwurfs darstellt. Unter anderem haben der Verband Polnischer Banken (ZBP) und der Polnische Verband der Kreditinstitute (PZIP) - zweifellos die beiden Verbände, die am meisten am Schicksal der Arbeit interessiert sind - aktiv ihre Kommentare zu den Entwürfen eingereicht.
# Welche Einschränkungen gibt es?
Mit den Rechtsvorschriften soll die Möglichkeit, die Kreditwürdigkeit einer Person zu bewerten und das Kreditrisiko zu analysieren, auf die folgenden Datenkategorien beschränkt werden:
– betreffend eine natürliche PersonName(n) und Vorname(n), Geburtsname, Name der Eltern, Geburtsdatum und -ort, Alter, Geschlecht, Staatsangehörigkeit, Familienstand, Serie und Nummer des Personalausweises oder eines anderen Dokuments zur Bestätigung der Identität, PESEL, NIP, Wohnanschrift, Anschrift des ständigen oder vorübergehenden Wohnsitzes, derzeitige Wohnanschrift, Korrespondenzanschrift, Rechtstitel für bewohnte Wohnungen, Arbeitsort, Beruf, Ausbildung, Art der Beschäftigung, finanzielle Situation, einschließlich Einkommen und Ausgaben, Anzahl der Personen im Haushalt, Familienstand der Ehegatten;
– über eine VerpflichtungQuelle der Verpflichtung, Betrag und Währung, Kontonummer und Saldo, Name und Anschrift des Kreditgebers, Datum der Verpflichtung, Bedingungen für die Rückzahlung der Verpflichtung, gestellte Rechtssicherheit, Verlauf der Erfüllung der Verpflichtung, Status der Verpflichtung, Datum des Erlöschens der Verpflichtung, Gründe für Nichterfüllung oder Verzug, Gründe für das Erlöschen der Verpflichtung.
# Was die Vorschriften einschränken können
Bei der Entwicklung und Nutzung von Scoring-Systemen, die die Analyse von Daten ermöglichen, die nicht in der oben genannten geschlossenen Liste enthalten sind, d. h. z. B. Verhaltensdaten, die auf den Spuren beruhen, die Menschen im Internet hinterlassen (Beiträge, Kommentare, Meinungen zu goWork, Pöbeleien und Zwischenrufe im Internet, Fotos usw.) oder Informationen von ihren geolokalisierten Geräten (z. B. häufige Reisen an gefährliche Orte, Teilnahme an Extremsportarten, Rennen usw.) sowie Informationen über ihre Gesundheit oder Vorstrafen.Die Zustimmung zu einem solchen Verhaltensprofiling ergibt sich aus der Einwilligung des Nutzers (z. B. Zustimmung zur Kontaktaufnahme durch den Nutzer, Zustimmung zur Kontaktaufnahme durch den Nutzer, Zustimmung zur Kontaktaufnahme durch den Nutzer, Zustimmung zur Kontaktaufnahme durch den Nutzer, Zustimmung zur Kontaktaufnahme durch den Nutzer, Zustimmung zur Kontaktaufnahme durch den Nutzer, Zustimmung zur Kontaktaufnahme durch den Nutzer, Zustimmung zur Kontaktaufnahme durch den Nutzer, Zustimmung zur Kontaktaufnahme durch den Nutzer, Zustimmung zur Kontaktaufnahme durch den Nutzer, Zustimmung zur Kontaktaufnahme durch den Nutzer, Zustimmung zur Kontaktaufnahme durch den Nutzer. Die für ein solches Profiling und eine automatisierte Entscheidungsfindung eingeholte Einwilligung ist nach den neuen Rechtsvorschriften ungültig.
# Mitteilung über die Ablehnung einer Finanzierung
Ein weiteres Problem, das sich aus dem Verordnungsvorschlag ergibt, ist die de facto Ausweitung des Anwendungsbereichs von Artikel 22 RODO, indem "die von einer automatisierten Entscheidung betroffene Person das Recht hat, eine angemessene Erläuterung der Gründe für die Entscheidung zu erhalten, die Entscheidung anzufechten, ihre eigene Meinung zu äußern und ein menschliches Eingreifen zu erwirken." Dies wiederum bedeutet, dass zumindest ein Teil des verwendeten Scoring-Modells, das ein Geschäftsgeheimnis der Bank/des Kreditinstituts ist, offengelegt werden muss. Diese Rücksichtnahme auf die Rechte des Einzelnen kann schmerzhaft sein - wenn eine solche Person die gewonnenen Erkenntnisse nutzt, um z. B. zu versuchen, die Finanzierung zu betrügen. Darüber hinaus ist es nicht schwer vorstellbar, dass eine angesprochene Person Kenntnis von einem Scoring-Modell erlangt, das von einem Wettbewerber verwendet wird.
Nach Auffassung der ZBP ist der vorgeschlagene Artikel 105a Absatz 1a des Bankengesetzes in dieser Hinsicht mit der BSB unvereinbar, da gemäß Artikel 22 Absatz 3 der BSB das Recht auf ein Eingreifen des für die Verarbeitung Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung - einschließlich Profiling - nicht gilt. 3 RODO das Recht auf ein menschliches Eingreifen des für die Verarbeitung Verantwortlichen, auf Stellungnahme und auf Anfechtung einer Entscheidung, die ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruht, nicht gilt, wenn sich die Befugnis zum Erlass automatisierter Entscheidungen unmittelbar aus einer Vorschrift des Rechts der Europäischen Union oder eines Mitgliedstaats ergibt (d. h. in diesem Fall aus dem gerade eingeführten Artikel 105a Absatz 1a des Bankengesetzes). Die ZBP weist ferner darauf hin, dass "geeignete Maßnahmen zum Schutz der Rechte, Freiheiten und berechtigten Interessen der betroffenen Person".Die in der Begründung für das Profiling auf eine Rechtsvorschrift (Artikel 22 Absatz 2 Buchstabe b) RODO) Bezug genommen wird, ergibt sich unmittelbar aus den geltenden Bestimmungen des Bankengesetzes.
# Was wäre, wenn wir nicht alles automatisch machen würden?
Nach dem vorgeschlagenen Artikel 105a Absatz 1a des Bankengesetzes können Banken und Kreditinstitute zur Beurteilung der Kreditwürdigkeit und zur Analyse des Kreditrisikos Entscheidungen auf der Grundlage folgender Kriterien treffen ausschließlich über die automatisierte Verarbeitung personenbezogener Daten einschließlich Profiling und gemäß dem vorgeschlagenen Artikel 105a Absatz 1b des Bankengesetzes diese Entscheidungen kann genommen werden ausschließlich auf der Grundlage der folgenden Kategorien von Daten (...). Es stellt sich daher die Frage, ob die Einführung eines menschlichen Faktors (und sei es nur in Form einer formellen schriftlichen Kredit-/Darlehens-/Factoring-Entscheidung) in der Risikoabteilung das Problem nicht löst und das Unternehmen von Beschränkungen befreit. Dies ist bereits ein Problem für die Rechtsabteilungen dieser Unternehmen, die zweifellos mögliche Sanktionen infolge einer möglichen PUODO-Prüfung in Betracht ziehen müssen. Zweifellos ist der menschliche Faktor im Falle von Banken oder groß angelegten Kreditfinanzierungen ohnehin notwendig. Das Problem stellt sich nur im Falle des Mikro-Factorings und der Mikro-Kreditvergabe von Banken - hier zielen einige Unternehmen ja darauf ab, den Risikobewertungsprozess vollständig zu automatisieren. Und es sind diese Unternehmen, die das größte Problem mit den neuen Vorschriften haben könnten.
Ich werde Sie im Rahmen der Blog-News über die Fortschritte auf dem Laufenden halten. Hoffentlich wird sich der endgültige Entwurf des Gesetzes ändern.
EDIT (12.02.2019).. Gute Informationen. Mit der letzten Änderung wurde das Wort "ausschließlich" durch "insbesondere" ersetzt. Somit können Banken, Bankfabriken und Kreditinstitute die Kreditwürdigkeit auch anhand anderer Kriterien beurteilen - ohne die Einschränkungen und die geschlossene Liste von Kriterien, die in dem oben erwähnten Artikel genannt werden. Die im Bankengesetz genannten Kriterien werden daher als beispielhaft betrachtet. Leider müssen sie auf Anfrage des Kunden (einer natürlichen Person - vermutlich ein Verbraucher) offenlegen, welche spezifischen Informationen berücksichtigt wurden. Diese Verpflichtung soll sowohl dann gelten, wenn die Entscheidung in einem vollautomatischen Prozess getroffen wurde, als auch dann, wenn ein Mensch an der Entscheidung beteiligt war. Diese Änderungen sind das Ergebnis der Einbeziehung der Panoptykon-Stiftung in den Konsultationsprozess. Von den in dem oben genannten Artikel erörterten Problemen bleibt das Problem der Offenlegung des "Know-hows" des Finanzinstituts, das die Bonitätsanalyse durchführt, daher relevant, aber wenn diese Möglichkeit auf den Verbraucher beschränkt wird, dann wird sie die Factoring-Branche nicht betreffen. Warten wir also den endgültigen Wortlaut des Gesetzentwurfs ab.