EuGH-Urteil zum SCHUFA-Score – Was Unternehmen jetzt beachten müssen
Für viele Unternehmen ist der Bonitätsscore der SCHUFA ein verlässlicher Anhaltspunkt dafür, ob sie auf die Zahlungswilligkeit und -fähigkeit einer Person vertrauen und mit ihr ein Vertragsverhältnis eingehen können. Immerhin wird dieser Score-Wert aus einer Vielzahl von Merkmalen und Meldungen zu einer Person errechnet. Der Europäische Gerichtshof (EuGH) hat in seinem heute verkündeten Urteil (Urteil vom 7. Dezember 2023 – C-634/21) allerdings Zweifel geäußert, ob es datenschutzrechtlich zulässig ist, dass Auskunfteien einen Score-Wert berechnen, auf dessen alleiniger Grundlage Unternehmen später Entscheidungen treffen. Dadurch gerät nicht nur das Geschäftsmodell von Wirtschaftsauskunfteien unter Druck, sondern auch Unternehmen, die bestimmte Entscheidungen auf Grundlage eines Score-Werts der Schufa oder ähnlicher Score-Werte treffen, könnten mit den Auswirkungen des EuGH-Urteils zu kämpfen haben.
Hintergrund
Mit Beschluss vom 1. Oktober 2021 hatte das Verwaltungsgericht Wiesbaden dem EuGH zwei Fragen zur Vorabentscheidung vorgelegt, die im Kern die datenschutzrechtliche Zulässigkeit des SCHUFA-Score-Wertes und darauf basierender unternehmerischer Entscheidungen betreffen.
Dem Vorabentscheidungsersuchen lag folgender Fall zugrunde: Die Klägerin begehrte einen Kredit, welcher ihr von dem Kreditinstitut unter Rückgriff auf ihren SCHUFA-Score-Wert verwehrt wurde. Diesen anhand bestimmter Merkmale errechneten Score-Wert hatte die dem Verfahren als Beigeladene beigetretene SCHUFA dem Kreditinstitut zur Beurteilung der Kreditwürdigkeit der Klägerin übermittelt.
Die Klägerin verlangte daraufhin von der SCHUFA Löschung und Auskunft über die sie betreffenden Daten. Die SCHUFA teilte der Klägerin jedoch nur ihren persönlichen Score-Wert sowie die allgemeinen Berechnungsgrundsätze mit. Unter Berufung auf ihr Geschäftsgeheimnis verweigerte die SCHUFA hingegen die Auskunft darüber, auf welchen konkreten Informationen der Score-Wert beruht und wie diese Informationen gewichtet wurden. Eine hiergegen gerichtete Beschwerde beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) blieb erfolglos. Daraufhin erhob die Klägerin Klage beim Verwaltungsgericht Wiesbaden, welches sich zunächst an den EuGH wandte. Das Verwaltungsgericht wollte im Wesentlichen wissen, ob die automatisierte Ermittlung eines Wahrscheinlichkeitswerts in Bezug auf die Fähigkeit einer Person, ihren künftigen Zahlungsverpflichtungen nachzukommen (Score-Wert), bereits eine automatisierte Entscheidung im Sinne von Art. 22 Abs. 1 DS-GVO darstellt, wenn dieser Wert an einen Dritten (hier das Kreditinstitut) übermittelt wird und dieser Dritte den Wert seiner Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person maßgeblich zugrunde legt.
EuGH: SCHUFA-Scoring kann automatisierte Entscheidung im Sinne von Art. 22 Abs. 1 DS-GVO sein
Der EuGH urteilte nun, dass bereits die Bildung eines solchen Score-Wertes durch die Auskunftei eine automatisierte Entscheidung nach Art. 22 DS-GVO sein kann, wenn von diesem Score-Wert die Entscheidung eines Dritten maßgeblich abhängt.
Art. 22 Abs. 1 DS-GVO sieht das Recht betroffener Personen vor, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Laut dem EuGH ist dabei der Begriff der „Entscheidung“ weit auszulegen, sodass er auch das Ergebnis der Berechnung der künftigen Zahlungsfähigkeit einer Person als Wahrscheinlichkeitswert (Score) einschließen kann. Die automatisierte Bildung dieses Score-Wertes würde die betroffenen Personen zumindest auch „erheblich beeinträchtigen“, da und soweit das Handeln von Dritten maßgeblich von diesem Wert abhänge. So würden etwa Kreditanträge von Banken sehr häufig aufgrund eines ungenügenden Score-Werts abgelehnt werden.
Eine solche Betrachtungsweise sichere laut dem EuGH die erhöhten Anforderungen der DS-GVO an die Rechtmäßigkeit automatisierter Entscheidungen ab, welche die betroffenen Personen vor den besonderen Risiken derartiger Datenverarbeitungen schützen sollen. Gerade in den Fällen, in denen drei Akteure beteiligt sind, bestünde ansonsten die Gefahr einer Rechtsschutzlücke. Wenn die Ermittlung des Score-Wertes nur als eine vorbereitende Handlung zu der eigentlichen „Entscheidung“ (etwa der Banken) im Sinne von Art. 22 Abs. 1 DS-GVO anzusehen wäre, müsste die Wertermittlung nicht die besonderen Anforderungen von Art. 22 Abs. 2 bis 4 DS-GVO an automatisierte Entscheidungen erfüllen. Ferner bliebe den betroffenen Personen dadurch die Möglichkeit einer aussagekräftigen Auskunft nach Art. 15 Abs. 1 lit. h) DS-GVO über die involvierte Logik und Tragweite der Verarbeitung versagt. Gegenüber der jeweiligen Auskunftei (vorliegend der SCHUFA) könnte das Auskunftsrecht nicht geltend gemacht werden, während die Drittunternehmen schlicht nicht über die angefragten Informationen verfügen würden.
Anwendbarkeit des § 31 BDSG offengelassen
Das deutsche Datenschutzrecht enthält zwar eine Regelung, die Scoring und Bonitätsauskünfte zum Schutz des Wirtschaftsverkehrs vorsieht (§ 31 BDSG). Der EuGH hat jedoch offengelassen, ob diese Norm sich als Rechtsgrundlage im Sinne von Art. 22 Abs. 2 lit. b) DS-GVO für eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung eignet. Dazu müsste die Norm den Anforderungen der DS-GVO an eine nationale Ausnahmeregelung genügen. Ob dies der Fall ist, müssen nun die deutschen Gerichte prüfen.
Speicherung von Daten aus öffentlichen Registern
Der EuGH hat heute außerdem über zwei weitere Vorabentscheidungsersuchen des Verwaltungsgerichts Wiesbaden im Zusammenhang mit der Datenverarbeitung durch die SCHUFA geurteilt. Gegenstand dieser Verfahren (verbundene Rechtssachen C‑26/22 und C‑64/22) ist die Zulässigkeit der Speicherung von Daten aus öffentlichen Registern bei Wirtschaftsauskunfteien. Konkret speicherte die SCHUFA Angaben über Restschuldbefreiungen von Personen drei Jahre lang und damit auch über den Zeitraum, für welchen die Daten parallel in dem öffentlichen Insolvenzregister gespeichert waren und der lediglich sechs Monate betrug, hinaus. Der EuGH entschied nun, dass dies im Widerspruch zur DS-GVO stehe. Die erteilte Restschuldbefreiung habe für die betroffenen Personen eine existenzielle Bedeutung, weshalb solche Daten auch von privaten Auskunfteien nicht länger gespeichert werden sollten, als dies vom deutschen Gesetzgeber für das öffentliche Register vorgesehen sei. Den betroffenen Personen stehe insofern das Recht auf Löschung dieser Daten gegen die Auskunfteien zu. Ob die parallele Speicherung dieser Daten in den Datenbanken der Auskunfteien auch vor Ablauf der sechs Monate zulässig ist oder nicht müsse von dem vorlegenden Gericht geprüft werden.
Folgen des Scoring-Urteils für Unternehmen
Der Ausgangspunkt der EuGH-Entscheidung zu Art. 22 Abs. 1 DS-GVO – nämlich die Verwehrung eines Kredits durch eine Bank – zeigt bereits, dass das Urteil für den Finanzsektor von besonderer Bedeutung ist. Zwar beinhalten aufsichtsrechtliche Vorgaben (vgl. insbesondere § 18 und § 18a KWG) sowie zivilrechtliche Regelungen (vgl. 505a ff. BGB) Anforderungen, die eine Kreditvergabe alleine auf Grundlage eines von einem Dritten bezogenen Score-Werts regelmäßig ausschließen. Dies gilt jedoch nicht für die Ablehnung eines Kreditantrags. Daher stellt sich die Frage, ob Institute mit Bußgeldern wegen eines Verstoßes gegen die DS-GVO oder gar mit zivilrechtlichen Klagen wegen angeblich unzulässiger Ablehnung von Kreditanträgen zu rechnen haben, wenn sie ihre Ablehnungsentscheidung im Wesentlichen auf einen negativen Score-Wert einer Auskunftei stützen. Vergleichbare Problemstellungen könnten bspw. bei der Ablehnung von Versicherungsverträgen entstehen.
Um sich insoweit abzusichern und datenschutzkonform zu handeln, sollten Unternehmen jetzt dringend prüfen, auf welcher Grundlage sie ihre Entscheidungen über den Abschluss von Verträgen mit natürlichen Personen treffen und welche Rolle der Score-Wert der SCHUFA dabei spielt. Es ist nicht auszuschließen, dass die SCHUFA erneut auf die Unternehmen zukommt und ihnen Vorgaben zur Verwendung des Score-Wertes macht oder bestimmte Erklärungen von ihnen verlangt. Dies hat sie bereits in der Vergangenheit im Vorgriff auf das heutige EuGH-Urteil getan. Wir beraten Unternehmen gerne bei der rechtlichen Analyse von Reaktionsmöglichkeiten.