Datenschutzrechtliche Verstöße bei Berechnungen von Kredit-Scores im Falle der SCHUFA Holding AG
Am 7. Dezember 2023 fällte der Europäische Gerichtshof (EuGH) ein wegweisendes Urteil im SCHUFA-Verfahren, das die Datenschutzrechte im Zusammenhang mit der Berechnung von Kredit-Scores betrifft – EuGH-Urteil vom 07. Dezember 2023 – C-634/21.
Das Gericht befasste sich insbesondere mit der Frage, ob die Praxis der deutschen Wirtschaftsauskunftei SCHUFA im Einklang mit der Datenschutz-Grundverordnung (DSGVO) steht. Hintergrund waren mehrere Rechtsstreitigkeiten aus Deutschland, die dem EuGH im Vorabentscheidungsverfahren durch das Verwaltungsgericht Wiesbaden vorgelegt wurden.
1. Hintergrund und Ausgangsverfahren
Im ersten Fall (Rechtssache C-634/21)wurde einem Kläger nach einer abgelehnten Kreditgewährung der Zugang zu seinen SCHUFA-Daten verwehrt. Der Kläger forderte daraufhin die Löschung eines Eintrags und den Zugang zu seinen persönlichen Daten. Die SCHUFA teilte dem Betroffenen lediglich seinen Score-Wert sowie allgemeine Informationen zur Berechnung mit. Der Kläger beschwerte sich beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit, der jedoch nicht tätig wurde. Daraufhin klagte der Betroffene vor dem Verwaltungsgericht Wiesbaden, das den Fall dem EuGH vorlegte. Eine zentrale Frage war, ob die Vorgehensweise der SCHUFA als (unzulässige) Verarbeitung im Sinne von Art. 22 DSGVOzu bewerten ist-
2. Verfahren und Vorlagefragen an den EuGH
Die EuGH-Verfahren hatten ihren Ursprung in Beschwerden vor dem Verwaltungsgericht Wiesbaden gegen Entscheidungen des hessischen Datenschutzbeauftragten. In beiden Fällen wurde den Betroffenen nach einer SCHUFA-Negativauskunft ein Kredit verweigert. Die Betroffenen forderten daraufhin Auskunft und Löschung ihrer personenbezogenen Daten von der SCHUFA, was jedoch verweigert wurde. Der Hessische Datenschutzbeauftragte wies die Beschwerden zurück, woraufhin die Betroffenen vor dem Verwaltungsgericht Klage erhoben. Das VG setzte die Verfahren aus und legte dem EuGH folgende Fragen zur Vorabentscheidung vor:
2.1. Vorlagefrage zum Schufa-Scoring
Im ersten Fall ging es um die Bewertung, ob das SCHUFA-Scoring als automatisierte Verarbeitung im Sinne von Art. 22 Abs. 1 DSGVO zu betrachten ist. Dieser Artikel verbietet Entscheidungen, die ausschließlich auf automatisierter Verarbeitung basieren und rechtliche Wirkungen oder erhebliche Beeinträchtigungen für die betroffene Person haben.
2.2. Vorlagefrage zur (überlangen) Speicherdauer von Daten der Restschuldbefreiung
Im zweiten Fall interessierte sich das VG Wiesbaden für die Rechtmäßigkeit der dreijährigen Speicherdauer von Informationen zur Restschuldbefreiung. Hierbei wurde die Praxis der SCHUFA mit der DSGVO, insbesondere Art. 6 Abs. 1 lit f (berechtigtes Interesse), konfrontiert.
3. EuGH-Urteil und dessen Bedeutung
3.1. Urteilsspruch zum Schufa-Scoring
Der EuGH entschied im ersten Urteil, dass die Berechnung des SCHUFA-Scorings als automatisierte Entscheidung gemäß Art. 22 Abs. 1 DSGVO einzustufen ist. Das Gericht wies das Argument der SCHUFA zurück, wonach die Entscheidungen allein von den jeweiligen Banken und nicht von der SCHUFA selbst getroffen würden. Der EuGH betonte, dass der Score-Wert maßgeblich das Handeln Dritter beeinflusst und somit eine erhebliche Beeinträchtigung für die betroffene Person darstellt.
Das Gericht unterstrich, dass die Anwendbarkeit von Art. 22 Abs. 1 von drei kumulativen Voraussetzungen abhängt: der Existenz einer Entscheidung, ausschließlich automatisierter Verarbeitung und der Entfaltung rechtlicher Wirkung oder einer erheblichen Beeinträchtigung.
Das SCHUFA-Scoring wurde daher als eine im Einzelfall verbotene automatisierte Entscheidung betrachtet.
Das EuGH betonte zudem, dass im Falle einer Ausnahme eine europarechtskonforme nationale Grundlage erforderlich ist. Das Verwaltungsgericht Wiesbaden muss nun prüfen, ob § 31 Bundesdatenschutzgesetz (BDSG) eine solche Ausnahme darstellt und ob die allgemeinen Voraussetzungen der DSGVO für die Datenverarbeitung erfüllt sind.
3.2. Urteilsspruch zur Speicherdauer von Daten zur Restschuldbefreiung
Im zweiten Urteil entschied der EuGH, dass die Speicherung von Informationen zur Restschuldbefreiung nur dann rechtmäßig ist, wenn eine der in Art. 6 DSGVO enthaltenen Rechtsgrundlagen erfüllt ist. Der einzige in Betracht kommende Artikel war Art. 6 Abs. 1 lit f (berechtigtes Interesse), der eine Abwägung der Interessen erfordert.
Der EuGH argumentierte, dass die Speicherung länger als sechs Monate den Zweck der Restschuldbefreiung gefährden würde. Diese soll es den betroffenenen Personen ermöglichen, wieder am Wirtschaftsleben teilzunehmen. Die Richter stellten fest, dass das berechtigte Interesse der SCHUFA an der Verarbeitung dieser Daten sowohl in ihrem eigenen wirtschaftlichen Interesse als auch im Interesse ihrer Vertragspartner liegt, die nur mit kreditwürdigen Personen Verträge abschließen wollen.
Die EuGH-Richter hoben hervor, dass die Verarbeitung nach Art. 6 Abs. 1 lit f nur rechtmäßig ist, wenn drei kumulative Voraussetzungen erfüllt sind: das Vorliegen eines berechtigten Interesses, die zwingende Erforderlichkeit der Verarbeitung für die Verwirklichung dieser Interessen und die Abwägung der Interessen gegenüber den Grundrechten und -freiheiten der betroffenen Personen.
In Bezug auf die Erforderlichkeit der Speicherung argumentierte der EuGH, dass eine längere Speicherdauer als im öffentlichen Insolvenzregister nicht notwendig ist, da dies den Zweck der Restschuldbefreiung untergraben würde. Die betroffenen Personen sollten nicht länger mit Informationen konfrontiert werden, die im öffentlichen Register bereits gelöscht wurden. Daher entschied der EuGH, dass Auskunfteien wie die SCHUFA solche Daten nicht länger speichern dürfen als das öffentliche Insolvenzregister.
Das Gericht betonte, dass die betroffene Person das Recht auf unverzügliche Löschung bei der SCHUFA hat, da die über die sechs Monate hinausgehende Speicherung nicht rechtmäßig ist.
4. Aktuelle Urteile zur DSGVO
Die EuGH-Entscheidungen vom 7. Dezember 2023 haben bedeutende Auswirkungen auf die Datenschutzpraxis, insbesondere im Bereich der Bonitätsprüfung durch Auskunfteien wie die SCHUFA. Die Urteile verdeutlichen die Anwendbarkeit von Art. 22 DSGVO auf das Scoring und die Notwendigkeit einer europarechtskonformen nationalen Grundlage für Ausnahmen von diesem Verbot.
4.1. Urteilsspruch zum Schufa-Scoring
Das EuGH-Urteil stellt fest, dass das SCHUFA-Scoring als eine automatisierte Entscheidung im Einzelfall anzusehen ist, die nach Art. 22 Abs. 1 DSGVO grundsätzlich verboten ist. Die Auswirkungen auf die Bonitätsprüfung durch Unternehmen, insbesondere (Online-)Händler, sind erheblich. Algorithmen dürfen nicht mehr allein darüber entscheiden, ob ein Vertrag zustande kommt oder ein Kredit genehmigt wird. Eine transparente Einzelfallprüfung durch Menschen ist erforderlich.
Die Auskunfteien müssen sich anstrengen, ihre Berechnungsformeln offenzulegen, um den Anforderungen von Art. 13 und 14 DSGVO gerecht zu werden. Kunden haben das Recht auf aussagekräftige Informationen über die Logik, Tragweite und Auswirkungen der automatisierten Entscheidungsfindung, einschließlich Profiling.
Es bleibt abzuwarten, wie die nationalen Gerichte, insbesondere das Verwaltungsgericht Wiesbaden, die Anwendbarkeit von § 31 BDSG und die Vereinbarkeit des BDSG mit der DSGVO beurteilen werden.
4.2. Urteilsspruch zur Speicherdauer von Daten zur Restschuldbefreiung
Das zweite EuGH-Urteil setzt klare Grenzen für die Speicherdauer von Daten zur Restschuldbefreiung. Die SCHUFA und andere Auskunfteien dürfen solche Informationen nicht länger speichern als im öffentlichen Insolvenzregister vorgesehen. Die EuGH-Entscheidung betont das berechtigte Interesse der betroffenen Person, nicht länger mit Informationen konfrontiert zu werden, die im öffentlichen Register bereits gelöscht wurden.
Die Vertragspartner der Auskunfteien müssen nun sicherstellen, dass ihre Praktiken im Einklang mit den Datenschutzbestimmungen stehen. Die Entscheidung könnte auch Auswirkungen auf andere private Auskunfteien in Deutschland und Europa haben.
5. Auswirkungen auf die Bonitätsprüfung
Das EuGH-Urteil zum SCHUFA-Scoring hat direkte Auswirkungen auf die Bonitätsprüfung durch Unternehmen, insbesondere im Finanz- und Handelssektor. Die automatisierte Berechnung von Kredit-Scores allein durch Algorithmen wird in der bisherigen Form nicht mehr akzeptiert. Unternehmen sind nun verpflichtet, transparente Einzelfallprüfungen durchzuführen, bei denen menschliche Entscheidungsträger beteiligt sind.
Dies könnte zu einer erhöhten Transparenz und Verantwortlichkeit in Bezug auf Bonitätsprüfungen führen. Kunden erhalten das Recht, detaillierte Informationen über die Logik und Tragweite automatisierter Entscheidungen zu erhalten. Unternehmen müssen offenlegen, wie sie zu ihren Bewertungen kommen, und sicherstellen, dass ihre Praktiken den Datenschutzbestimmungen entsprechen.
5.1. Herausforderungen für Unternehmen
Die EuGH-Entscheidungen stellen Unternehmen vor neue Herausforderungen in Bezug auf ihre Bonitätsprüfungspraktiken. Eine Anpassung der Scoring-Verfahren und eine verstärkte Transparenz könnten notwendig werden. Es ist zu erwarten, dass Unternehmen ihre Prozesse überprüfen und gegebenenfalls anpassen müssen, um den neuen rechtlichen Anforderungen gerecht zu werden.
Die Offenlegung von Scoring-Formeln könnte auch Auswirkungen auf die Geschäftsmodelle von Auskunfteien haben, die bisher ihre Algorithmen als Geschäftsgeheimnisse betrachtet haben. Die Balance zwischen dem Schutz von Geschäftsgeheimnissen und dem Recht der betroffenen Personen auf Transparenz wird möglicherweise neu bewertet.
5.2. Notwendigkeit europarechtskonformer Grundlagen
Die EuGH-Entscheidungen betonen die Notwendigkeit europarechtskonformer nationaler Grundlagen für Ausnahmen von Verboten gemäß Art. 22 DSGVO. Nationale Gesetze, wie § 31 BDSG in Deutschland, müssen im Einklang mit den Datenschutzbestimmungen stehen. Die nationalen Gerichte, insbesondere das Verwaltungsgericht Wiesbaden, werden die Vereinbarkeit dieser Gesetze mit der DSGVO prüfen müssen.
6. Ausblick und Handlungsempfehlungen
Die EuGH-Entscheidungen vom 7. Dezember 2023 markieren einen Wendepunkt in der Datenschutzregulierung im Zusammenhang mit Bonitätsprüfungen. Unternehmen, insbesondere Auskunfteien, stehen vor der Herausforderung, ihre Praktiken zu überdenken und anzupassen.
Einige Handlungsempfehlungen für Unternehmen könnten sein:
6.1. Überprüfung der Bonitätsprüfungspraktiken
Unternehmen sollten ihre Bonitätsprüfungspraktiken überprüfen und sicherstellen, dass sie im Einklang mit den neuen rechtlichen Anforderungen stehen. Dies beinhaltet möglicherweise die Anpassung von Scoring-Verfahren und die Integration menschlicher Entscheidungsträger in den Prozess.
6.2. Transparente Offenlegung von Scoring-Formeln
Unternehmen sollten erwägen, ihre Scoring-Formeln transparenter zu gestalten. Eine klare Offenlegung der Logik und Tragweite automatisierter Entscheidungen könnte nicht nur den rechtlichen Anforderungen entsprechen, sondern auch das Vertrauen der Kunden stärken.
6.3. Anpassung von Geschäftsmodellen
Auskunfteien, die bisher ihre Algorithmen als Geschäftsgeheimnisse betrachtet haben, müssen möglicherweise ihre Geschäftsmodelle anpassen. Die Balance zwischen dem Schutz von Geschäftsgeheimnissen und dem Recht der betroffenen Personen auf Transparenz wird neu bewertet.
6.4. Überprüfung nationaler Gesetze
Unternehmen sollten die Überprüfung und gegebenenfalls Anpassung nationaler Gesetze im Auge behalten. Die Vereinbarkeit mit der DSGVO und die Schaffung europarechtskonformer Grundlagen für Ausnahmen sind entscheidend.
7. Schlussbemerkungen
Die EuGH-Entscheidungen vom 7. Dezember 2023 haben erhebliche Auswirkungen auf die Bonitätsprüfung durch Auskunfteien und betonen die Bedeutung der Einhaltung der Datenschutzbestimmungen. Unternehmen stehen vor neuen Herausforderungen, müssen ihre Praktiken überdenken und könnten ihre Geschäftsmodelle anpassen müssen. Eine transparente und verantwortungsbewusste Bonitätsprüfung wird zunehmend zu einem Schlüsselfaktor für den Datenschutz im Finanz- und Handelssektor.