EuGH-Urteil: Schufa muss zittern
Der Europäische Gerichtshof hat heute entschieden, dass Schufa-Scorewerte zur Zahlungswahrscheinlichkeit als automatisierte Entscheidungen gelten.
(Bild: nitpicker/Shutterstock.com)
Der Europäische Gerichtshof (EuGH) hat entschieden: Das Zahlungswahrscheinlichkeits-Scoring selbst sei bereits eine automatisierte Entscheidung im Sinne der EU-Datenschutzgrundverordnung (DSGVO), nicht erst die Entscheidung etwa von Banken. Damit zweifeln die Richter die deutsche Rechtsgrundlage der Auskunfteien an. Denn die seit 2018 vollständig wirksame DSGVO verbietet in Artikel 22 ausdrücklich die automatisierte Entscheidungsfindung inklusive Profiling, soweit es dafür keine Einwilligung oder gesetzliche Grundlage gibt – diese muss aber ihrerseits wiederum mit den Betroffenenrechten ausgewogen gestaltet sein.
Ausgangsfall war eine Betroffene, der aufgrund ihres Schufa-Scores ein Kredit verweigert wurde. Die Schufa wiederum verweigerte unter Verweis auf Geschäfts- und Betriebsgeheimnisse genauere Einblicke in die Zusammensetzung des Score-Wertes. Die Betroffene wandte sich im Jahr 2018 an den Hessischen Landesbeauftragten für den Datenschutz und die Informationsfreiheit (HBDI), der ihre Beschwerde abwies. Dagegen zog die Betroffene vor das zuständige Verwaltungsgericht Wiesbaden, was den EuGH um Klärung bat: Die Richter wollten wissen, ob die automatisierte Erstellung von Wahrscheinlichkeitswerten eine automatisierte Entscheidungsfindung oder zumindest ihr vergleichbar im Sinne der DSGVO sei. Die Antwort der Richter in Luxemburg heute war erstaunlich eindeutig: Ja, das Ergebnis einer Berechnung der wahrscheinlichen, künftigen Zahlungsfähigkeit sei eine Entscheidung im Sinne der DSGVO. Und ja, es handele sich beim Schufa-Zahlungswahrscheinlichkeits-Scoring auch um Profiling – und von dem könne eine erhebliche Beeinträchtigung durch einen schlechten Scorewert ausgehen.
Scoreberechnung ist bereits Entscheidung
Die Richter führen aus, dass schon die Tätigkeit von Auskunfteien wie die Kreditwürdigkeits-Scoreberechnung durch die Schufa selbst eine Entscheidung im Sinne des Gesetzes sei. Und damit nicht nur, wie von der Auskunftei vorgetragen, eine "vorbereitende Handlung" für Dritte, die dann die eigentliche Entscheidung fällten. Hier drohe bei anderer Auslegung eine Rechtsschutzlücke. Deshalb müssten auch die Auskunftsrechte gegenüber Auskunfteien weit ausgelegt werden. Was das für die Schufa jetzt praktisch bedeutet, ob sie etwa ihr Geschäftsmodell komplett umstellen muss oder ihre Berechnungsmethoden nach jahrelangem Streit offenlegen muss, haben die Richter in Luxemburg nicht entschieden, sondern mit ihren Antworten auf die Auslegungsfragen den nationalen Gerichten einen Rahmen gesteckt.
EuGH zweifelt deutschen Scoring-Paragraf im BDSG an
Wenn eine automatisierte Entscheidung aber ausnahmsweise doch rechtlich zulässig sein soll, braucht es dafür eine europarechtskonforme nationale Grundlage. Und dass es die mit der geltenden deutschen Regelung in §31 BDSG derzeit gibt, daran "bestehen für dieses Gericht aber durchgreifende Bedenken. Sollte diese Bestimmung als mit dem Unionsrecht unvereinbar angesehen werden, würde die Schufa nicht nur ohne Rechtsgrundlage handeln, sondern verstieße ipso iure gegen das in Art. 22 Abs. 1 DSGVO aufgestellte Verbot", heißt es in Randnummer 71 des Urteils. Damit ist gemeint: Es handele sich dann um eine nach DSGVO verbotene Verarbeitung personenbezogener Daten. Ob das so sei, müsse nun das deutsche Gericht prüfen. Damit würden die Schufa und vergleichbare Auskunfteien in massive Probleme kommen – denn eine Verarbeitung ohne Rechtsgrundlage ist mit hohen Bußgeldern belegt und könnte eine Löschpflicht für die erstellten Scores nach sich ziehen.
Fast schon nebenbei stellte der EuGH zudem fest, dass Entscheidungen von Datenschutzaufsichtsbehörden von den zuständigen Gerichten überprüft werden könnten – gegen die Nichtverfolgung einer Beschwerde etwa können die Betroffenen damit zum zuständigen Verwaltungsgericht gehen.
Schufa prüft Auswirkungen des Urteils
Die Schufa reagierte schnell auf das Urteil und teilte mit, dass sie in einer ersten Einschätzung zu dem Schluss komme, dass "die Verwendung von Scores in Entscheidungsprozessen nur in bestimmten Fällen unter Art. 22 DSGVO" fiele. Allerdings wolle man das Urteil noch genauer analysieren. Ein Ausweg könnte für die Schufa darin liegen, ihre Geschäftsbeziehungen zu Banken und anderen Kunden dahingehend zu ändern, dass diese neben dem Schufa-Score zwingend weitere, davon unabhängige Faktoren einbeziehen müssten.
Am Nachmittag teilte die Schufa mit, dass sie mit bereits erfolgten Änderungen den Anforderungen des EuGH Genüge getan habe. "Das weit überwiegende Feedback unserer Kunden lautet, dass Zahlungsprognosen in Form des Schufa-Scores für sie zwar wichtig, aber in aller Regel nicht allein entscheidend für einen Vertragsabschluss sind", sagt Ole Schröder, Vorstandsmitglied der Schufa und früherer Parlamentarischer Staatssekretär im für das Bundesdatenschutzgesetz zuständigen Bundesministerium des Innern (BMI). "Deshalb wird die große Mehrheit unserer Kunden Schufa-Scores weiterhin ohne Anpassung ihrer Prozesse nutzen können."
Anders beurteilt das der stellvertretende Fraktionsvorsitzender der Grünen, Konstantin von Notz. Die Erstellung und Verwertung von Score-Werten stehe nicht mehr auf rechtssicheren Beinen. Von Notz warnt auch vor einer Anpassung des §31 des Bundesdatenschutzgesetzes, das derzeit eh zur Novellierung ansteht. "Bezüglich der Schaffung einer solchen Ausnahmeregelung haben wir große Bedenken", sagt von Notz. Klar sei, dass "diejenigen, die eine solche Ausnahme fordern, darlegen müssen, wie sie mit den jüngsten Vorgaben des EuGH in Einklang zu bringen wäre und umfangreiche Auskunftsrechte garantiert werden."
In einem weiteren EuGH-Urteil wurde der Schufa aufgegeben, Daten aus Insolvenzregistern nur noch so lange zu speichern, wie diese auch im öffentlichen Register stehen. Hier hatte die Auskunftei bereits im Vorgriff auf das Urteil ihre Praxis angepasst und die Speicherfrist angepasst.
Bereits am Dienstag hatte der EuGH in einem anderen Grundsatzurteil entschieden, dass die Datenschutzaufsicht auch gegen Organisationen vorgehen kann, ohne dass sie zuvor einen konkreten Zuständigen ermitteln muss. Damit sind Unternehmen auch für Datenschutzverstöße ihrer Mitarbeiter oder beauftragter Dritter in Verantwortung, sofern es sich dabei um fahrlässige oder gar vorsätzliche Verstöße gegen die DSGVO handelt.
Reaktionen Schufa und Grüne ergänzt.
(mki)