Die Schufa sammelt Daten und verdichtet diese zu einem individuellen Score, der ihren Kunden als Zahlungsprognose eines potenziellen Vertragspartners dient. An dieser Praxis gibt es bereits seit längerem Kritik.
Auf Vorlage des Verwaltungsgerichts Wiesbaden befasste sich der EuGH nun mit der Frage, ob die Geschäftspraktiken der Schufa mit der Datenschutzgrundverordnung (DSGVO) vereinbar sind. Konkret ging es hierbei um die Frage, ob die Bonitätseinstufung der Schufa als grundsätzlich unzulässige automatisierte Einzelfallentscheidung nach Art. 22 DSGVO anzusehen ist. Hintergrund des Verfahrens vor dem Verwaltungsgericht war ein Fall, in welchem die Klägerin, nach der Ablehnung eines Kreditantrags, von der Schufa verlangte, ihr Auskunft über die dieser vorliegenden Daten zu erteilen. Diese teilte ihr lediglich den Score-Wert mit. Ihre Beschwerde beim Hessischen Datenschutzbeauftragten blieb daraufhin erfolglos, sodass sie das Land Hessen verklagte. Das befasste Gericht wandte sich im Oktober 2021 an den EuGH (Beschl. V. 01.10.2021, Az. 6 K 788/20).
Die in dem Verfahren beigeladene Schufa hatte argumentiert, dass sie ihre Kunden mit der Bereitstellung des Scores zwar bei der Entscheidungsfindung unterstütze, jedoch nicht selbst Entscheidungen treffe, sodass die Score-Ermittlung nicht unter die Vorschrift des Art. 22 DSGVO falle. Der Europäische Gerichtshof (EuGH) stellt in seinem Urteil vom 7. Dezember 2023 in der Rechtssache C-634/21 nun hingegen fest, dass Art. 22 Abs. 1 DSGVO dahingehend auszulegen ist, dass eine “automatisierte Entscheidung im Einzelfall” vorliegt, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter (die Kunden der Schufa), dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.
Das höchste europäische Gericht argumentiert dabei vom Wortlaut der Vorschrift ausgehend, dass sich die vom Gesetz geforderte “Entscheidung” nicht nur auf Handlungen bezieht, die rechtliche Wirkung gegenüber der betroffenen Person entfaltet, sondern auch auf Handlungen, die diese Person in ähnlicher Weise erheblich beeinträchtigen. Dieses weite Verständnis, das der EuGH zudem mit dem 71. Erwägungsgrund der Entscheidung begründet, führe dazu, dass die von Art. 22 DSGVO vorausgesetzte “Entscheidung” mehrere Handlungen umfassen kann, wodurch auch das Ergebnis der Berechnung der Fähigkeit einer Person zur Erfüllung künftiger Zahlungsverpflichtungen in Form eines Wahrscheinlichkeitswerts (Schufa-Score) miteingeschlossen ist.
Dass die Verarbeitungstätigkeit der Schufa unter die Definition des “Profilings” nach Art. 4 Abs. 4 DSGVO fällt, stellt der EuGH zudem unproblematisch fest.
Der EuGH schlussfolgert, dass – unter Umständen – der von einer Wirtschaftsauskunftei ermittelte – und dem Schufa-Kunden mitgeteilte – Wahrscheinlichkeitswert eine maßgebliche Rolle bei der Gewährung eines Kredits spielt, die Ermittlung dieses Wertes als solche als Entscheidung im Sinne von Art. 22 Art. 1 DSGVO einzustufen ist (Rn. 50 des Urteils).
Insoweit stellt der EuGH klar, dass aus diesen Gründen der Schutz der betroffenen Personen durch die Vermeidung einer Rechtsschutzlücke sicherzustellen ist.
Hierbei stellt er auf den Zweck der Vorschrift ab, Personen vor den besonderen Risiken für ihre Rechte und Freiheiten zu schützen, die mit der automatisierten Verarbeitung verbunden sind. Diese bestehen nach dem Urteil darin, dass die Bewertung persönlicher Aspekte – insbesondere zur Analyse oder Prognose von Aspekten bzgl. der Arbeitsleistung, der wirtschaftlichen Lage, Gesundheit, Vorlieben oder Interessen – diskriminierende Wirkung gegenüber der betroffenen Person (etwa aufgrund von Rasse, ethnischer Herkunft, politischer Meinung) entfalten kann. Aus diesem Grund sei der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten.
In den Konstellationen, in denen drei Akteure beteiligt sind, bestünde jedoch die Gefahr einer Umgehung von Art. 22 DSGVO und des damit verbundenen gesetzlichen Schutzes (der Gerichtshof stellt hiermit auf die besonderen Anforderungen von Art. 22 Abs. 2 bis 4 DSGVO ab), sodass eine Rechtsschutzlücke entstünde, wenn einer engen Auslegung der Bestimmung gefolgt würde, indem die Ermittlung des Wahrscheinlichkeitswerts nur als vorbereitende Handlung angesehen wird und nur die vom Dritten (den Kunden der Schufa) vorgenommene Handlung als Entscheidung im Sinne der Norm eingestuft würde. Um diese Regelungslücke in den benannten “Dreieckskonstellationen” zu schließen, stellt der Gerichtshof auf das Merkmal der Maßgeblichkeit des Scores für das Handeln des Schufa-Kundens ab, bei dessen Vorliegen die Vorschrift des Art. 22 DSGVO auf die Schufa anwendbar ist.
Eine enge Auslegung würde zudem dazu führen, dass die betroffene Person ihr Auskunftsrecht nach Art. 15 DSGVO nicht gegenüber der Schufa geltend machen könnte, da nach dieser Auslegung keine automatisierte Entscheidung durch die Schufa vorliegen würde, was Voraussetzung für den Anspruch ist. In dieser Konstellation wäre vielmehr der Schufa-Kunde zur Auskunft verpflichtet, könne aber die spezifischen Informationen nicht vorlegen, da er über diese im Allgemeinen nicht verfüge. Auch dies beschneidet, aus Sicht des EuGHs, den gesetzlich gewährten Schutz der Betroffenen.
Hinsichtlich der Ausnahmetatbestände des Art. 22 Abs. 2 DSGVO geht der EuGH allein auf Art. 22 Abs. 2 lit. b DSGVO ein. Die hiernach erforderliche nationale Rechtsvorschrift muss nach seiner Auffassung angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der Betroffenen Person enthalten. Ferner müssen die datenschutzrechtlichen Grundsätze eingehalten werden, was der Verantwortliche nachweisen können muss.
Es obliegt daher nunmehr dem befassten Verwaltungsgericht Wiesbaden zu beurteilen, ob § 31 BDSG im Einklang mit der DSGVO eine wirksame Ausnahmevorschrift darstellt. Liegt hiernach eine Rechtsgrundlage vor, so hat die Verarbeitung sowohl die allgemeinen Grundsätze der DSGVO als auch die besonderen Voraussetzungen von Art. 22 Abs. 4 DSGVO zu erfüllen. Der EuGH weist aber ausdrücklich darauf hin, dass § 31 BSGD zwar eine nationale Grundlage im Sinne von Art. 22 Abs. 2 lit. b) DSGVO darstellen könnte, bezüglich der Vereinbarkeit der Vorschrift mit dem Unionsrecht aber durchgreifende Bedenken bestehen würden. Sollte § 31 BDSG für ungültig erklärt werden, so das Gericht, würde die Schufa nicht nur ohne Rechtsgrundlage handeln, sondern folglich auch gegen Art. 22 Abs.1 DSGVO verstoßen.
Auch die Antwort auf die zweite Vorlagefrage, mit welcher sich der EuGH zu beschäftigen hatte, ist von grundsätzlicher Bedeutung. Inhaltlich ging es hierbei um die sogenannte Restschuldbefreiung und darum, dass nach Ansicht des Gerichtshofs ein Widerspruch zu der DSGVO besteht, sofern private Auskunfteien diese Daten länger speichern als das öffentliche Insolvenzregister. In dem Urteil stellt das Gericht hierzu fest, dass es Sinn einer Restschuldbefreiung sei, es den betroffenen Personen zu ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen. Da eine Information hierüber bei der Bewertung der Kreditwürdigkeit stets negativ zu Buche schlägt, sei davon auszugehen, dass bei einer gesetzlichen Regelung über die sechsmonatige Speicherung nach Ablauf dieser sechs Monate von einem Überwiegen der Rechte und Interessen der betroffenen Personen auszugehen ist. Nach Ablauf dieser Frist sind die Auskunfteien demnach zur Löschung verpflichtet.
Fazit:
Da das Urteil auf alle Auskunfteien übertragbar sein dürfte, die vergleichbare Scores für ihre Kunden erzeugen, wird dieses für eine Reihe von Unternehmen eine Anpassung ihrer Prozesse notwendig machen.
Insbesondere für die Kreditwirtschaft wird sich nun die Wahl stellen, entweder die Bonität der Kund:innen selbst intensiver zu prüfen – und dies zu dokumentieren – oder entsprechende Einwilligungen einzuholen. Ob ersteres im Massengeschäft praktikabel ist, muss hierbei im Einzelfall geprüft werden. Jedenfalls aber geht ein erhebliches Risiko ein, wer eine Prüfung der eigenen Geschäftspraxis im Lichte des Urteils unterlässt.
Hierbei sind wir Ihnen sehr gerne behilflich und arbeiten mit Ihnen gemeinsam eine passende Lösung für Ihr Unternehmen aus.
