DU BIST NUR EINE KLEINE NUMMER! - CCC S · Ziel: Eine Art Vertrauensindex für jeden...

DU BIST NUR EINEDU BIST NUR EINEKLEINE NUMMER!KLEINE NUMMER!

WIE UNS SCORING IM ALLTAGWIE UNS SCORING IM ALLTAGBEGEGNETBEGEGNET

Dr. Stefan Schlott @_skyr skyr@chaos.social

ABOUT.TXTABOUT.TXT

Stefan Schlott, BeOne Stuttgart GmbHJava-Entwickler, Scala-Enthusiast, Linux-Jünger

Seit jeher begeistert für Security und Privacy

Aktiv beim CCC Stuttgart

WAS IST SCORING?WAS IST SCORING?

VERSUCH EINER DEFINITIONVERSUCH EINER DEFINITIONAuswertung einer Datenbasis mittels statistischer Modelle

Berechnung eines Prognosewerts (Vorhersage) für bestimmteFragestellung

Typische Fragestellung: Erfüllungswahrscheinlichkeit für einenKredit

Prognosen sind schwierig, besonders wenn siedie Zukunft betreffen.

— N. Bohr (?)

Quelle: smbc

DIE SCHUFADIE SCHUFA

NUR DIE SCHUFA?NUR DIE SCHUFA?

„Instrument zur Risikominimierung”

„Effektiver Frühwarnindikator des Zahlungsverhaltens vonKonsumenten“

„Prüfen Sie die Bonität Ihrer Kunden und verbessern Sie dieQualität Ihrer Beziehungen“

VERWENDETE DATEN: SCHUFA (1)VERWENDETE DATEN: SCHUFA (1)Zu den gespeicherten Informationen zählen

zum Beispiel die Anzahl und Art derKreditaktivitäten, etwaige Zahlungsausfälle

oder Informationen darüber, seit wann Sieschon Erfahrungen im Umgang mit

Kreditgeschäften sammeln.Die SCHUFA hat keine Informationen zu Ihrer

Nationalität, Ihrem Einkommen, IhremFamilienstand oder über Ihre

Vermögensverhältnisse.Quelle: (bei )Schufa FAQ archive.org

VERWENDETE DATEN: SCHUFA (2)VERWENDETE DATEN: SCHUFA (2)NamenGeburtsdatum und ggf. -ortAnschrift (aktuelle und frühere)Persönlicher SCHUFA-Basisscore

Infos von Vertragspartnerunternehmen:

BankkontenKreditkartenLeasingverträge

TelekommunikationskontenVersandhandelskontenRatenzahlungsgeschäfte, Kredite, o.ä.

Infos zu nicht-vertragsgemäßem VerhaltenQuelle: (bei )Schufa FAQ archive.org

VERWENDETE DATEN: SCHUFA (3)VERWENDETE DATEN: SCHUFA (3)...führen wir standardmäßig (das heißt bei 99,7

Prozent aller Scoreberechnungen) keinGeoscoring durch.

(...) Lediglich in wenigen Ausnahmefällen(nämlich wenn uns zu einer angefragten

Person keinerlei Informationen vorliegen)greifen wir auf Adressdaten zurück (...)

Quelle: (bei )Schufa FAQ archive.org

VERWENDETE DATEN: BONIVERSUMVERWENDETE DATEN: BONIVERSUMAuf Basis von Alter und Geschlecht und von Adressdaten

Score II: Zusätzlich Kauf- und Zahlungsverhalten

(Gespeichert) werden insbesondere Angabengespeichert über den Namen, die Anschrift,das Geburtsdatum, ggf. die E-Mail-Adresse,

das Zahlungsverhalten und dieBeteiligungsverhältnisse von Personen.

Quelle: (bei ), (bei )Bonipedia archive.org Boniversum DSGVO-Info archive.org

RECHTSGRUNDLAGERECHTSGRUNDLAGEDisclaimer: Kein Jurist!

Basis: „Berechtigtes Interesse” (DSGVO Artikel 6)

Juristisch kritisch: Schufa-Klausel (Einverständnis zurDatenweitergabe) - kontrovers zum „Kopplungsverbot“ (DSGVO

Artikel 7 Abs 4)

Löschanspruch nach DSGVO: Abwägungssache

2018: Crowdfunding-Projekt für Software, um Schufa-Selbstauskünfte einzulesen und auszuwerten

Vorwurf: Schufa-Score intransparent und möglicherweisediskriminierend.

OPENSCHUFAOPENSCHUFAKafkaeske Situation: Eine Zahl, auf die ich keinen Einfluss habe und

deren Herkunft ich nicht kenne, hat weitreichenden Einfluss aufmein Leben

Prüfung nicht möglich - Algorithmus ist Geschäftsgeheimnis

Fragestellung: Wie berechnet Schufa den Score?

PRESSE-ECHOPRESSE-ECHO

AUSWERTUNGAUSWERTUNG„Nur” ~2.800 Selbstauskünfte eingereicht

Trotz fehlender statistischer Represäntativität: Zeigt Probleme

Schlechte Scores ohne NegativmerkmaleDrei positive Einträge, trotzdem Einstufung „erhöhtes Risiko”

Scores suggerieren nicht vorhandene Genauigkeit85,04% oder 97,41%: lassen mehr Details vermuten als vorhanden

Deutlicher Einfluss: Alter, Geschlecht, Zahl der UmzügeDas wäre Diskriminierung

Quelle: Open Knowledge Foundation

Quelle: Spiegel

CCC-FORDERUNG: DATENBRIEFCCC-FORDERUNG: DATENBRIEFAsymmetrie Datensammler und Betroffene

Möglicherweise Datensammler den Betroffenen unbekannt!

Forderung Datenbrief: Datensammler sollen 1x jährlich alleBetroffenen über die gespeicherten Daten informieren

Quelle: CCC

SELBSTAUSKUNFT.NETSELBSTAUSKUNFT.NETMuss 1x jährlich kostenlos erteilt werden

Windige Dienstleister verlangen Gebühr

KUNDEN-SCORINGKUNDEN-SCORING

WEITERE SCORESWEITERE SCORES„Der Schufa-Score”: Erfüllungswahrscheinlichkeit für Kredit - nur

eine Variante

Branchen-Scores: Banken, Kauf auf Rechnung, Handyanbieter, ...

Werbe-Scoring: Prognose Ansprechbarkeit, Kaufverhalten,Kaufkraft

Neukunden-Scoring: Prognose Erfolgswahrscheinlichkeit

Autoversicherung: Einteilung in Klassen (unfallfreie Jahre,Unfallquote des Wohnorts), Geschlecht!?

SCORING VON BESTANDSKUNDENSCORING VON BESTANDSKUNDENWieviel Umsatz ist mit einem Kunden zu erwarten?

Folgen: Intensität der Betreuung, Aggressivität von Werbung(Anrufe, Kontakt Kundenberater, etc.)

Positionierung in der Telefon-Warteschleife (Umsatzprognose, wieunbequem ist der Kunde)

Quelle: , Stern (1) Stern (2)

DAS SOCIAL CREDIT SYSTEMDAS SOCIAL CREDIT SYSTEM

DER PLANDER PLANSeit 2014: Suche nach „dem” Social Credit System

Ca. 70 verschiedene Systeme und Ansätze im Test

Bis 2020 Finden des „idealen“ Systems, dann landesweiteAusrollung

Ziel: Eine Art Vertrauensindex für jeden Geschäftspartner(Einzelperson wie Firmen)

Quellen: , (bei ), (bei ), (bei )

35c3: "The" Social Credit System Wired archive.orgDLF archive.org DLF Podcast archive.org

ÖSTLICHE VS WESTLICHE SICHTÖSTLICHE VS WESTLICHE SICHT

Quellen: Financial Times / Staatliche Nachrichtenagentur Xinhua

GUANXIGUANXIDas Netzwerk persönlicher Beziehungen, in dem man in ständiger

Wechselwirkung steht

Familie, Firma, Schule, ...

Persönliche Bande: Kontaktmöglichkeit/Chance und Verpflichtunggleichermaßen

Innerhalb eines Guanxi-Netzes: Meist hierarchische Struktur

Traditionell etablierte Struktur in China

SOCIAL „CREDIT” SYSTEMSOCIAL „CREDIT” SYSTEMCredit / Vorschuss, Guthaben, Punkte: Unvollständige

Übersetzung!

Kann bedeuten...

...Kontext Geld: Guthaben, Kreditwürdigkeit

...Kontext Vertrauen: Vertrauensvorschuß, Glaubwürdigkeit

BELOHNUNG UND SANKTIONIERUNGBELOHNUNG UND SANKTIONIERUNG

Quelle: Wall Street Journal

SUINING-SYSTEMSUINING-SYSTEMEines der Ersten Versuche in dieser Richtung (2016)

Jeder Bürger am Start: 1000 Punkte

Strikter, langer Regelkatalog (was gibt wieviel Abzug, wie langebleibt der Abzug bestehen, welche Sanktionen ab welchem Score)

Zentral verwaltet

Nach kurzer Zeit wegen öffentlichem Widerstand abgeschafft

Begründung: Orwellisches System

RONGCHENG-SYSTEMRONGCHENG-SYSTEMNachfolger in Stadt Rongcheng

Kandidat für finales System, bei uns in den Medien

Dezentralerer Ansatz: Generische Strafen und Belohnungenzentral

Zusätzlich lokale Regeln (Stadtteil, Firma, etc.)

Teils Technikeinsatz: Gesichtserkennung für Regelverletzung imStraßenverkehr

Teils lokale Ansprechpartner, die Infos sammeln und weitergeben(„Blockwart”)

SESAME CREDITSESAME CREDITVom Technologiekonzern Alibaba Group

Machine-learning Ansatz: Mustergruppe an Leuten in Kategorieneingeteilt, Kategorien mit Scores versehen

Machine Learning deduziert Regeln, um Score für neue Leute zuvergeben

Undurchsichtiges Verhalten des Systems für Leute

FINALES SYSTEMFINALES SYSTEMVermutlich sehr ähnlich zu Rongcheng

Vermutlich mehrere Score-Werte für verschiedene Aspekte

Vermutlich Integration der Informationen aus IT-Systemen(Alibaba Group, Wechat, Baidu-Suche)

Vermutlich wird Freundeskreis Einfluss auf Score haben

Lookup der Scorewerte anderer Leute für Jedermann möglich

FAZITFAZIT

FAZITFAZITScoring: Für viele Anbieter ein einfacher Weg zu gewisser

Sicherheit

Genauigkeit fraglich

Fehlender Datenbrief - eine verpasste Chance

Bis dahin: 1x jährlich nutzen

...macht Intresse am Thema deutlich - und erlaubt Korrekturfalscher Informationen

selbstauskunft.net