Datenschutz und Bonitätsprüfung: EuGH urteilt gegen SCHUFA-Praxis

Ein EuGH-Urteil vom 7. Dezember 2023 stellt fest, dass die Scoring-Praxis der  gegen die Datenschutzgrundverordnung (DSGVO) verstößt, wenn Zahlungsprognosen maßgeblich für Vertragsentscheidungen sind.

Dirk Streifler - Streifler&Kollegen - Rechtsanwälte Berlin

Die Frage nach der Macht der SCHUFA und ihrem Umgang mit Datenschutz wirft weiterhin Schatten auf Vertragsabschlüsse, sei es für Handys, Kredite oder den Wechsel des Stromanbieters. 

Während Kunden die Zahlungsprognosen als wichtiges Kriterium betrachten, sehen Datenschützer und Verbraucher die SCHUFA wegen des anlasslosen Sammelns persönlicher Merkmale und der intransparenten Scoring-Modelle kritisch. Der Bundesgerichtshof entschied bereits 2014, dass die SCHUFA ihre Algorithmen nicht offenlegen muss. Nun sollte der Europäische Gerichtshof auf Vorlage des Verwaltungsgerichts Wiesbaden klären, ob die Schufa-Geschäftspraktiken mit der DSGVO vereinbar sind.

Der EuGH, dessen Schlussanträge im März 2023 veröffentlicht wurden, teilt die Auffassung von Generalanwalt Priit Pikamäe. Demnach ist die Scoring-Praxis der SCHUFA nur unter bestimmten Voraussetzungen zulässig (Urteile vom 7.12.2023, Rechtssachen C-634/21, C-26/22 und C-64/22).

Hintergrund des ersten Vorabentscheidungsersuches

Durch einen Beschluss vom 1. Oktober 2021 hat das Verwaltungsgericht Wiesbaden dem Europäischen Gerichtshof (EuGH) zwei Fragen zur Vorabentscheidung vorgelegt. Diese Fragen zielen hauptsächlich auf die datenschutzrechtliche Zulässigkeit des SCHUFA-Score-Wertes ab sowie darauf, ob dieser als Grundlage für unternehmerische Entscheidungen verwendet werden kann.

Der Hintergrund des Vorabentscheidungsersuchens ist folgender: Eine Kreditantragstellerin wurde auf Basis ihres SCHUFA-Score-Wertes von einem Kreditinstitut abgelehnt. Die SCHUFA, als Beigeladene im Verfahren, hatte dem Kreditinstitut den Score-Wert übermittelt, der auf bestimmten Merkmalen basierte und zur Beurteilung der Kreditwürdigkeit der Antragstellerin verwendet wurde. Die Kreditantragstellerin forderte daraufhin von der SCHUFA die Löschung ihrer Daten und eine Auskunft über die sie betreffenden Informationen. Die SCHUFA teilte der Antragstellerin lediglich ihren persönlichen Score-Wert sowie die allgemeinen Berechnungsgrundsätze mit. Unter Verweis auf Geschäftsgeheimnisse (GeschGehG) verweigerte die SCHUFA jedoch die Offenlegung konkreter Informationen, die der Berechnung des Score-Wertes zugrunde lagen, und von welchem Gewicht diese Informationen für die Entscheidung letztendlich waren. Eine beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) eingereichte Beschwerde blieb erfolglos. Daraufhin erhob die Kreditantragstellerin Klage vor dem Verwaltungsgericht Wiesbaden, das sich wiederum an den EuGH wandte.

Vorlagefrage

Die wesentliche Frage des Verwaltungsgerichts lautete, ob die automatisierte Ermittlung eines Wahrscheinlichkeitswerts in Bezug auf die Fähigkeit einer Person, ihren zukünftigen Zahlungsverpflichtungen nachzukommen (Score-Wert), bereits als automatisierte Entscheidung gemäß Art. 22 Abs. 1 DS-GVO anzusehen ist, wenn dieser Wert an einen Dritten (in diesem Fall das Kreditinstitut) übermittelt wird und dieser Dritte den Wert als maßgebliche Grundlage für seine Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person verwendet.

EuGH: Erstellung eines SCHUFA-Score-Wertes durch die SCHUFA ist bereits automatisierte Entscheidung iSv. Art. 22 DSGVO

Der Europäische Gerichtshof (EuGH) hat entschieden, dass bereits die Erstellung eines SCHUFA-Score-Wertes durch die Auskunftei als automatisierte Entscheidung im Sinne von Artikel 22 der Datenschutz-Grundverordnung (DS-GVO) betrachtet werden kann. Dies gilt insbesondere dann, wenn die Entscheidung eines Dritten, beispielsweise einer Bank, maßgeblich von diesem Score-Wert abhängt. Artikel 22 Absatz 1 DS-GVO gewährt betroffenen Personen das Recht, nicht ausschließlich automatisierten Entscheidungen unterworfen zu werden, die rechtliche Wirkungen entfalten oder sie erheblich beeinträchtigen.

Wichtige Entscheidungen dürfen demnach nicht allein auf Grundlage von automatisiert verarbeiteten Daten getroffen werden.

Der EuGH interpretiert den Begriff "Entscheidung" weit, sodass auch das Ergebnis der Berechnung des Score-Wertes, der die künftige Zahlungsfähigkeit einer Person als Wahrscheinlichkeitswert darstellt, darunter fällt. Diese automatisierte Berechnung des Score-Wertes kann die betroffenen Personen erheblich beeinträchtigen, insbesondere wenn die Entscheidungen Dritter, wie beispielsweise die Ablehnung von Kreditanträgen durch Banken, stark von diesem Wert beeinflusst werden. Der EuGH argumentiert, dass eine solche Sichtweise den höheren Anforderungen der DSGVO an die Rechtmäßigkeit automatisierter Entscheidungen gerecht wird und die betroffenen Personen vor den besonderen Risiken solcher Datenverarbeitungen schützt. Insbesondere in Drei-Personen-Verhältnissen wird so eine mögliche Rechtsschutzlücke vermieden.

Ermittlung des Score-Wertes nicht bloß vorbereitende Handlung

Das oberste Gericht der Europäischen Union betont, dass die Ermittlung des Score-Wertes nicht nur als vorbereitende Handlung betrachtet werden darf, um die speziellen Anforderungen von Artikel 22 Absätze 2 bis 4 DSGVO an automatisierte Entscheidungen zu umgehen. Andernfalls würde den betroffenen Personen das Recht auf eine aussagekräftige Auskunft über die zugrunde liegende Logik und den Umfang der Verarbeitung verwehrt. 

Das Gericht stellte jedoch klar, dass unter gewissen Bedingungen Ausnahmen von dieser Praxis akzeptabel sein können. Dies könnte beispielsweise der Fall sein, wenn der nationale Gesetzgeber eine entsprechende Ausnahmeregelung einführt. In Deutschland ist eine solche Bestimmung im Bundesdatenschutzgesetz verankert.

Auswirkungen 

Mit dem Urteil des Europäischen Gerichtshofs (EuGH) ist das Verfahren daher noch nicht abgeschlossen. Vielmehr liegt es nun erneut in der Zuständigkeit des Verwaltungsgerichts Wiesbaden. Die anstehende Aufgabe des Verwaltungsgerichts besteht insbesondere darin, zu klären, ob die Ausnahmevorschrift im Bundesdatenschutzgesetz überhaupt rechtens ist. Bereits im vorherigen Verfahren hatte das Verwaltungsgericht Zweifel an der Rechtmäßigkeit dieser Vorschrift geäußert. Sollte das Verwaltungsgericht zu dem endgültigen Schluss gelangen, dass die besagte Vorschrift im Widerspruch zum europäischen Datenschutzrecht steht, hätte dies weitreichende Konsequenzen. In diesem Fall wäre das Scoring der SCHUFA in seiner aktuellen Form nicht durch eine Ausnahmevorschrift abgedeckt und somit unzulässig, insbesondere wenn Unternehmen ihre Vertragsentscheidungen ausschließlich darauf stützen.

Weitere Vorabentscheidungsersuche betreffend der Zulässigkeit der Speicherung von Daten aus öffentlichen Registern

Der Europäische Gerichtshof (EuGH) hat zudem über zwei weitere Vorabentscheidungsersuche des Verwaltungsgerichts Wiesbaden im Kontext der SCHUFA-Datenverarbeitung entschieden. Die Verfahren (verbundene Rechtssachen C‑26/22 und C‑64/22) betreffen die Zulässigkeit der Speicherung von Daten aus öffentlichen Registern durch die SCHUFA. Die Auskunftei hat konkret Informationen über Restschuldbefreiungen von Personen über einen Zeitraum von drei Jahren gespeichert. Dieser Zeitraum erstreckte sich auch über den im öffentlichen Insolvenzregister parallel gespeicherten Datenzeitraum von lediglich sechs Monaten weit hinaus.

Der EuGH entschied, dass die SCHUFA diese Daten bisher zu lange gespeichert hat. Eine "existenzielle Bedeutung" der Restschuldbefreiung erfordere eine kürzere Speicherfrist. Deshalb sollten solche Daten auch von privaten Auskunfteien nicht länger gespeichert werden sollten, als dies vom deutschen Gesetzgeber für das öffentliche Register vorgesehen sei. Den betroffenen Personen stehe insofern das Recht auf Löschung dieser Daten gegen die Auskunfteien zu. Es liegt in der Zuständigkeit des vorlegenden Gerichts zu prüfen, ob die gleichzeitige Speicherung dieser Daten in den Datenbanken der Auskunfteien auch vor Ablauf der sechs Monate gesetzlich erlaubt ist oder nicht.

Fazit

Das Urteil des Europäischen Gerichtshofs (EuGH) wird dazu führen, dass Entscheidungen über die Genehmigung oder Ablehnung von Krediten nicht mehr von Algorithmen getroffen werden dürfen. Stattdessen muss eine individuelle Überprüfung durch eine menschliche Instanz erfolgen und transparent sein. Obwohl der SCHUFA-Score weiterhin verwendet werden kann, darf er nicht mehr als alleiniger maßgeblicher Faktor für die Kreditentscheidung dienen.

Gleichzeitig wird die Abwicklung von Verträgen in der Zukunft möglicherweise länger dauern , da Unternehmen verstärkt alternative Nachweise nutzen müssen, um die Kreditwürdigkeit ihrer Kunden zu bewerten.

Haben Sie noch Fragen zu diesem Thema? Dann nehmen Sie Kontakt zu Streifler&Kollegen auf und lassen Sie sich fachkundig beraten.