Das zum Adresshändler Schober gehörende Geomarketing-Unternehmen infas Geodaten findet eine Erwähnung im jüngsten Spiegel (gedruckte Version). Aber vermutlich sorgt der Kontext nicht für einen Niederschlag im öffentlichen News-Archiv der Firma. Der Spiegel befasst sich kritisch mit dem Thema Kundenscoring und berichtet unter anderem, wie die Einteilung in gute und schlechte Kunden mittels geographischer Analysen funktioniert. Für jemanden, der sich ein klein wenig mit dem Thema auskennt, ist der Spiegel-Artikel natürlich arg oberflächlich. Der Beitrag verbeisst sich zu sehr in der Tatsache, dass es überhaupt umfangreiche Datensammlungen gibt und findet, es hat schon ein Geschmäckle, wenn ein Unternehmen wie infas 18 Millionen Gebäude in Deutschland sichtet, bewertet und daraus Rückschlüsse auf die Bewohner zieht. Und auch die Datenschutzbeauftragten scheinen die spezifischen Ursachen des Scorings noch nicht recht durchschaut zu haben, weswegen ihre Forderung, Scoringwerte und ihre Herkunft gegenüber dem Verbraucher transparent zu machen, wohl zunächst ihnen helfen dürfte. Aber deswegen ist die Forderung trotzdem richtig.

Gleichwohl ändert mehr Transparenz nichts an der Tatsache, dass es ein Kundenscoring gibt und das es sich hierzulande auf statistische Analysemethoden stützt, die in der Masse gut funktionieren, aber im Einzelfall immer mal wieder fürchterlich daneben hauen. Solche Fehlgriffe sind wunderbare Aufhänger für skandalisierende Artikel und öffentliche Empörung, aber das geht alles am Kern des Problems vorbei. Diesen Kern hab ich schon vor geraumer Zeit mit dem Begriff des quasi personengebundenen Datums umrissen.

Hier nochmal die Kurzfassung: Die Weitergabe personenenbezogener Daten an Dritte ist ohne Zustimmung der betroffenen Person nicht erlaubt und findet auch für Zwecke des Kundenscorings – zumindest im Umfeld des geographischer Analysen – nicht statt. Die personenbezogenen Daten werden getreu den Regeln des Datenschutzes von der Person getrennt und als statistische Masse behandelt. Der entscheidene Punkt: die Methoden der statistischen Analyse dieser Datenmassen ist mittlerweile so gut, dass die Ergebnisse am Ende einer Analyse auf eine einzelne Adresse und damit unter Umständen auch auf einzelne Person projiziert werden können – mit den entsprechenden Konsequenzen. Ich nenne solche, einzelnen Personen zugeordnete statistische Wahrscheinlichkeiten, quasi personenbezogene Daten. Nach den Vorgaben des Datenschutzgesetzes sind das keine personenbezogenen Daten, da sie nicht eindeutog von der betroffenen Person stammen. Es sind lediglich Aussagen mit hoher statistischer Wahrscheinlichkeit zu dieser Person, also nicht: Hein Müller ist ein unsicherer Schuldner, sondern: Hein Müller ist mit hoher statistischer Wahrscheinlichkeit ein unsicherer Schuldner. Im Alltag des Marketings erfüllen diese quasi personenbezogenen Daten den gleichen Zweck, wie echte personenbezogene Daten.

Der Gesetzgeber hat prinzipiell zwei Möglichkeiten, das Problem zu regeln:

1. Er verbessert das Scoring und lockert zu diesem Zweck das Verbot der Weitergabe personengebundener Daten. Dann könten Scoringwerte früher oder später auf tatsächlich von der Person stammenden Daten basieren und damit in jedem Einzelfall unter Umständen zuverlässiger sein, als die bisherigen statistischen Verfahren. Über die kompletten Folgen einer solcher Lockerung möchte man aber lieber nicht nachdenken. Das ist natürlich abzulehnen. Aber ich liste den Vorschlag hier auf, weil damit zu rechnen ist, das irgendein Scoring-Experte tatsächlich so argumentiert: Ihr wollt zuverlässigere Ergebnisse? Dann gebt uns die Daten!

2. Meine bevorzugte Variante: Der im Bundesdatenschutzgesetz festgelegte Prozess, dass personengebundene Daten beim Betroffenen zu erheben sind, wird dahingehend geändert, das jedes einer Person zugeordnete Datum ein personenengebundes Datum im Sinne des Gesetzes darstellt, auch wenn die Daten ohne Zutun des Betroffenen entstanden sind. Und bei der Gelegenheit sollte man den Geltungsbereich des Gesetzes gleich noch ausrücklich auf alle Bereiche der Privatwirtschaft erweitern. Und wenn man dann noch der Weitergabe seiner Daten nicht ausdrücklich widersprechen, sondern ausdrücklich zustimmen müsste, könnte eine ganze Branche eigentlich einpacken.