Von der Schwierigkeit automatisierter Verfahren, auch in der Vermögensverwaltung
Wieder einmal steht das Geschäftsmodell der Schufa in der Kritik und wieder einmal haben sich Verbraucherschützer an die Gerichte gewandt. Diesmal geht es um die Erstellung automatischer Kreditwürdigkeits-Scores durch die Schufa. Es geht um die Frage, ob die Schufa mittels automatisierter Verfahren Kreditnehmerprofile erstellen darf. Für uns alle ist dieses Verfahren relevant, in erster Linie natürlich bei einer Kreditanfrage an die Bank, aber auch beim Leasing eines Autos, Abschluss eines Handyvertrags usw. Mehrere hunderttausend Datenabfragen erfolgen pro Jahr bei der Schufa. Für den Betroffenen ist es natürlich ärgerlich, wenn er aufgrund eines negativen Schufa-Scores den Kredit verwehrt bekommt oder keinen neuen Handyvertrag abschließen kann. Ein solcher Betroffener hat sich an das Verwaltungsgericht Wiesbaden gewandt und das Verwaltungsgericht hat die Angelegenheit an den Europäischen Gerichtshof vorgelegt. Der muss nun entscheiden, ob es mit der Datenschutzgrundverordnung vereinbar ist, dass die Schufa mit den personenbezogenen Daten des Betroffenen die Bonität durch automatisierte Verfahren berechnet. Der Generalanwalt beim Europäischen Gerichtshof sieht das Modell sehr kritisch und führt vor allem das Verbot eines automatisierten Profiling aus personenbezogenen Daten gegen das Geschäftsmodell der Schufa an.
Das Urteil hat nicht nur für eine automatisierte Bonitätsprüfung erhebliche Bedeutung, sondern auch im Bereich des Private Banking. Ein Anlageberater oder Vermögensverwalter erstellt mit den Daten des Kunden aus dem WpHG-Bogen auch ein Profil. Er sammelt personenbezogene Daten zu Anlagezielen, Kenntnissen und Erfahrungen und vor allem den finanziellen Verhältnissen des Kunden, um daraus Anlagevorschläge zu erstellen. Deswegen ist es vor allem für Robo-Advisor und Onlineberatungsstrecken extrem relevant, ob diese Kundendaten automatisiert zu einem Profil verarbeitet werden dürfen.
Die Datenschutzgrundverordnung setzt in Art. 22 der automatisierten Verarbeitung, vor allem einem automatisierten Profiling, enge Grenzen. Nach dieser Regelung hat jede Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden. An sich ist die Regelung gut gemeint und reagiert auf Missstände in der Vergangenheit. Es waren vor allem amerikanische Banken, die schon aufgrund des Wohnorts Kreditanträge abgelehnt haben. Aufgrund eines Profilings von Adressen haben US Banken Kreditanträge abgelehnt, die aus Wohngegenden stammten, die überwiegend von Afroamerikanern bewohnt wurden. Vor allem der ehemalige Präsident Barack Obama hat sich als junger Anwalt einen Namen damit gemacht, große amerikanische Kredithäuser wegen solcher Praktiken und der damit einhergehenden rassischen Diskriminierung zu verklagen. Genau das ist der Hintergrund für die Regelung. Niemand soll nur wegen seiner zufälligen Herkunft, seinem Namen, seiner Adresse oder anderer Merkmale, die automatisiert verarbeitet werden, von vornherein durchs Raster fallen und durch entsprechende Programmierung von Computeralgorithmen von Leistungen ausgeschlossen werden.
Die Problematik der Regelung liegt aber wie so oft in ihrer sehr weiten Formulierung und einem ausgreifenden Anwendungsbereich. Die Regelung wird nämlich nicht beschränkt auf Diskriminierungen, sondern greift schon dann, wenn überhaupt eine automatisierte Verarbeitung rechtliche Wirkung entfaltet.
Diese beginnen aber in der Vermögensverwaltung, wenn automatische Rebalancing-Systeme tätig werden. Wird z.B. in der Vermögensverwaltung aufgrund des Anlegerprofils eine Asset Allocation für den Kunden zusammengestellt und dann ein Portfolio entsprechend dieser Asset Allocation verwaltet, hätte diese automatisierte Verarbeitung rechtliche Wirkungen. Es würden auf Basis der Vermögensverwaltungsvollmacht verbindliche Anlageentscheidungen für den Kunden getroffen und im Depot umgesetzt.
Für die Anwendung von Art. 22 Datenschutzgrundverordnung spielt es leider keine Rolle, dass Institute ja durch MiFID II und das Wertpapierhandelsgesetz gesetzlich verpflichtet sind, Anlegerprofile zu erstellen und auf Basis dieser Anlegerprofile geeignete Anlagen zu empfehlen oder in der Vermögensverwaltung umzusetzen. Art. 22 Datenschutzgrundverordnung knüpft einzig und allein daran an, ob eine automatisierte Verarbeitung für den Betroffenen rechtliche Wirkung entfalten kann.
Wie kann eine Lösung aussehen? Für Robo-Advisor und Robo Asset Manager sowie online gestützte Beratungsstrecken wird sich empfehlen, ausdrückliche Einwilligungen der Kunden für die automatisierte Verarbeitung ihrer Daten vorzusehen. Die Problematik entsteht aber auch dann nicht, wenn in der Vermögensverwaltung kein ausschließlich automatisiertes Verfahren eingesetzt wird. Solange Menschen die Anlageentscheidung fällen, liegt noch keine ausschließlich auf automatisierter Verarbeitung beruhende Entscheidung vor. Solange also ein Chief Investment Officer oder ein Investment Komitee die Anlageentscheidungen treffen, besteht die Problematik nicht.
Die zu erwartende Entscheidung des Europäischen Gerichtshof hat daher große Auswirkungen. Es geht um nichts anderes als grundlegende Weichenstellungen für den automatisierten Einsatz von Kundendaten z.B. auch für den Einsatz von KI im Private Banking.
Deswegen halte ich sie gerne auf dem Laufenden.
Mit den besten Grüßen
Ihr
Dr. Christian Waigel
Rechtsanwalt