Die SCHUFA und das Datenschutzrecht: Europäischer Gerichtshof stellt SCHUFA-Scoring auf den Prüfstand

Am 7. Dezember 2023 entschied der Europäische Gerichtshof, inwieweit das SCHUFA-Scoring mit den Vorgaben der Datenschutzgrundverordnung (DSGVO) vereinbar ist. Unternehmen, die im Datenaustausch mit der SCHUFA stehen, sollten die Entwicklung verfolgen, denn die DSGVO bringt Privatpersonen mehr Schutz und zudem Aussicht auf Schadenersatz.

Der ersten Entscheidung des Europäischen Gerichtshofs (EuGH) lag ein Fall des Verwaltungsgerichts (VG) Wiesbaden zugrunde. Der Klägerin war ein Kreditvertrag aufgrund einer negativen Bonitätsauskunft der SCHUFA verweigert worden. Auf Verlangen der Klägerin informierte die SCHUFA zwar über die Höhe des Score-Werts und legte in groben Zügen dar, wie die Score-Werte berechnet werden. Sie weigerte sich jedoch unter Berufung auf das Betriebs- und Geschäftsgeheimnis, die Klägerin u.a. über die berücksichtigten Einzelinformationen zur Berechnung und die Tragweite der Datenverarbeitung zu informieren. Die SCHUFA wies darauf hin, dass sie ihren Vertragspartnern lediglich Informationen zukommen lasse, die eigentlichen Entscheidungen aber die Vertragspartner träfen. Daher würde auch keine zusätzliche Informationspflicht der SCHUFA bestehen. Eine Beschwerde beim Hessischen Datenschutzbeauftragten blieb erfolglos.

Das SCHUFA-Scoring

Die SCHUFA versorgt ihre Vertragspartner mit Informationen zur Kreditwürdigkeit Dritter, indem sie aus bestimmten Merkmalen einer Person die Wahrscheinlichkeit ihres künftigen Zahlungsverhaltens (den sogenannten Score-Wert) prognostiziert.

Dabei sammelt die SCHUFA Daten nach dem Gegenseitigkeitsprinzip: Sie stellt eine Plattform zur Verfügung, auf der Daten durch Vertragspartner der SCHUFA (z.B. Banken und Sparkassen, Unternehmen im stationären oder Online-Handel, Telekommunikationsgesellschaften und Energieversorger) aufgenommen, gespeichert und ausgetauscht werden. Die Ergebnisse des Scorings dienen diesen Unternehmen wiederum als Entscheidungsgrundlage bei der Wahl ihrer Vertragspartner.

SCHUFA-Scoring ist „automatisierte Entscheidung im Einzelfall“

Der EuGH hatte über die Frage zu entscheiden, ob das Scoring der SCHUFA eine sogenannte „automatisierte Entscheidung im Einzelfall“ gemäß Art. 22 DSGVO darstellt. Diese Vorschrift regelt, dass eine Person im Wirtschaftsleben grundsätzlich nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen werden soll. „Profiling“ ist jede Art der automatisierten Datenverarbeitung, die darin besteht, dass personenbezogene Daten verwendet werden, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten – wie beispielsweise Arbeitsleistung, wirtschaftliche Lage, Gesundheit oder persönliche Vorlieben.

Eine solche „automatisierte Entscheidung“ ist nur in gesetzlich geregelten Ausnahmefällen zulässig, z.B. wenn es hierfür eine nationale Rechtsgrundlage gibt. Zudem hat eine betroffene Person bei Vorliegen einer derartigen Entscheidung weitergehende Auskunftsrechte gegenüber den Verantwortlichen, wie insbesondere Auskunft auf aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung.

Der EuGH hatte daher zu entscheiden, ob bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts durch die SCHUFA eine automatisierte Entscheidung darstellt, wenn dieser Wert von dem Verantwortlichen an einen Dritten übermittelt wird und erst dieser Dritte ihn maßgeblich für eine Entscheidung verwendet.

Der EuGH entschied, dass das Scoring der SCHUFA die Definition des Profiling erfüllt und damit eine automatisierte Entscheidung darstellt. Das begründet der EuGH u.a. damit, dass anderenfalls eine Rechtsschutzlücke entstünde: Denn sofern es sich bei der Erstellung eines Score-Werts durch die SCHUFA nicht um eine automatisierte Entscheidung handeln würde, bedeutete dies, dass die SCHUFA zwar über die personenbezogenen Daten verfügen würde, aber nicht verpflichtet wäre, Auskunft über zusätzliche Informationen zu erteilen. Umgekehrt würde der Vertragspartner der SCHUFA zwar die Entscheidung treffen, könnte aber keine Auskunft erteilen, da er nicht über die Daten verfügt. Denn der Vertragspartner bekommt von der SCHUFA regelmäßig nur den Score-Wert, aber keine weiteren personenbezogenen Daten mitgeteilt. Eine betroffene Person hätte dann keine Möglichkeit, die zusätzlichen Informationen über das Scoring zu erhalten.

Um eine solche Rechtsschutzlücke zu vermeiden, sei es daher erforderlich, so der EuGH, dass schon die reine Ermittlung eines Wahrscheinlichkeitswerts unter den Begriff der „automatisierten Entscheidung“ falle.

Grundsätze der Verarbeitung personenbezogener Daten nach Art. 5 DSGVO

Personenbezogene Daten müssen

  • auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Art. 6 Abs. 1 DSGVO enthält eine abschließende Liste von rechtmäßigen Datenverarbeitungen (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz).
  • für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Zweckbindung).
  • dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Datenminimierung).
  • sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; unrichtige Daten sind unverzüglich zu löschen oder zu berichtigen (Richtigkeit).
  • in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Speicherbegrenzung).
  • in einer Weise verarbeitet werden, die eine angemessene Sicherheit der Daten gewährleistet (Integrität und Vertraulichkeit).

SCHUFA-Scoring auf wackligen Beinen

Ob das SCHUFA-Scoring als automatisierte Entscheidung rechtmäßig ist, hängt demnach davon ab, ob es im deutschen Recht eine Rechtsvorschrift gibt, nach der ein solches Scoring zulässig ist. Einzig in Betracht kommt dabei § 31 Bundesdatenschutzgesetz (BDSG), der regelt, wann die Verwendung eines Wahrscheinlichkeitswerts zulässig ist. Aber: Der EuGH hat in seinem Urteil durchgreifende Bedenken an der Vereinbarkeit von § 31 BDSG mit Unionsrecht geäußert. Sollte diese Bestimmung unionsrechtswidrig sein, würde die SCHUFA ohne Rechtsgrundlage handeln.

Hierüber hat nun das VG Wiesbaden zu entscheiden. Dabei hat das Gericht auch zu prüfen, ob das Scoring die in der DSGVO festgelegten Grundsätze für die Datenverarbeitung einhält, die für jede Verarbeitung personenbezogener Daten gelten.

EuGH zur Speicherdauer bei Restschuldbefreiung

Zudem entschied der EuGH zur Speicherung von Daten zur Restschuldbefreiung nach der Insolvenz.

Das deutsche Insolvenzrecht gibt Privatpersonen die Möglichkeit, sich innerhalb eines bestimmten Zeitraums endgültig von ihren Schulden zu befreien, auch wenn sie nicht mehr in der Lage sind, all ihre Schulden vollständig zu begleichen (sogenannte Restschuldbefreiung). Die Restschuldbefreiung soll es dem Betroffenen ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen und hat für diese Person daher meist existenzielle Bedeutung. Um dieses Ziel zu erreichen, gibt der deutsche Gesetzgeber vor, dass die Information über die Erteilung einer Restschuldbefreiung im öffentlichen Insolvenzregister nur sechs Monate lang gespeichert wird. Die SCHUFA speichert diese Daten ebenfalls, bisher allerdings bis zu drei Jahre.

Der EuGH stellte fest, dass der deutsche Gesetzgeber davon ausgehe, dass nach Ablauf einer Frist von sechs Monaten die Rechte und Interessen der betroffenen Person diejenigen der Öffentlichkeit an der Information über die durchgeführte Restschuldbefreiung überwiegen. Wirtschaftsauskunfteien dürften Daten über eine Restschuldbefreiung daher nicht für einen Zeitraum speichern, der über die Speicherdauer der Daten im öffentlichen Register hinausgeht. Außerdem äußerte der EuGH Zweifel an der parallelen Speicherung der Daten durch Wirtschaftsauskunfteien. Denn die fraglichen Daten könnten im öffentlichen Register abgerufen werden. Der EuGH habe bereits entschieden, dass das Vorliegen derselben personenbezogenen Daten in mehreren Quellen den Eingriff in das Recht der Person auf Achtung des Privatlebens verstärkt.

Das VG Wiesbaden hat nun die in Rede stehenden Interessen gegeneinander abzuwägen, um festzustellen, ob die parallele Speicherung der Daten durch private Wirtschaftsauskunfteien erforderlich ist. Die SCHUFA hatte allerdings bereits als Reaktion auf die Schlussanträge des Generalanwalts im März 2023 die Dauer der Speicherung auf sechs Monate verkürzt.

EuGH zum immateriellen Schadenersatz bei Verstoß gegen DSGVO

Je nach Ausgang des Verfahrens in Wiesbaden werden Auskunfteien ihr Geschäftsmodell auf neue Grundlagen stellen und Unternehmen neue Wege finden müssen, wie sie die Bonität ihrer Kunden prüfen. Verstöße gegen die DSGVO können für Unternehmen teuer werden. So entschied der EuGH mit Urteil vom 14. Dezember 2023, dass es keine Bagatellgrenze für Schäden gibt, die durch Verstoß gegen die DSGVO entstanden sind. Ein Schaden kann z.B. durch die Verletzung des informationellen Selbstbestimmungsrechts einer Person eintreten. Ein Blick auf die eigene Datenverarbeitung kann Unternehmen daher viel Geld sparen.

Johanna Weißbach

Die Autorinnen sind als Rechtsanwältinnen im Bereich Streitbeilegung, Alternative Dispute Resolution und Massenverfahren bei Pinsent Masons Rechtsanwälte Steuerberater Solicitors Partnerschaft mbB tätig. Pinsent Masons ist eine internationale Wirtschaftskanzlei mit drei Standorten in Deutschland (München, Düsseldorf, Frankfurt am Main).

Anna Schwingenheuer

Mehr Informationen unter:

www.pinsentmasons.com

Vorheriger Artikel

Ausgabe 2 des gmbhchef erscheint

Nächster Artikel

Wissensmanagement: Erfahrungswissen im Unternehmen bewahren

You might be interested in …