Online-Weiterbildung
Präsenz-Weiterbildung
Produkte
Themen
Dashöfer

EuGH beschränkt Verwendung von Schufa Scores

18.12.2023  — Rolf Becker.  Quelle: Verlag Dashöfer GmbH.

Der Europäische Gerichtshof (EuGH) hat am 07.12.2023 (Az. C 634/21) ein wichtiges Urteil zu automatisierten Entscheidungshilfen gefällt, das mit seinen ersten Auswirkungen vor allem den Schufa-Score trifft, eine wesentliche Basis für Kredite und Zahlartensteuerungen. Die Schufa verfügt über die Daten von 68 Millionen Menschen in Deutschland. Über die Folgen berichtet unser Autor Rechtsanwalt Rolf Becker.

Das Verwaltungsgericht Wiesbaden hatte über einen Auskunfts- und Löschungsantrag einer Klägerin zu entscheiden. Dieser war ein Kredit wegen einer negativen Auskunft der Schufa verweigert worden. Daraufhin stellte die Betroffene einen Auskunfts- und Löschungsantrag zu nach ihrer Meinung unrichtigen Daten.

Schufa-Scoring

Die SCHUFA ist eine private deutsche Gesellschaft, die ihre Vertragspartner mit Informationen zur Kreditwürdigkeit von Personen – meist Verbraucher - versorgt. Dazu prognostiziert sie aus bestimmten Merkmalen einer Person auf der Grundlage mathematisch-statistischer Verfahren die Wahrscheinlichkeit eines künftigen Verhaltens, wie beispielsweise die Rückzahlung eines Kredits. Diese Wahrscheinlichkeit wird in einem sog. Score-Wert ausgedrückt.

Die Erstellung von Score-Werten („Scoring“) basiert auf der Annahme, dass durch die Zuordnung einer Person zu einer Gruppe anderer Personen mit vergleichbaren Merkmalen, die sich in einer bestimmten Weise verhalten haben, ein ähnliches Verhalten vorausgesagt werden kann.

Berufung auf Geschäftsgeheimnis

Die Schufa gab zwar Auskunft, weigerte sich aber unter Berufung auf das Betriebs- und Geschäftsgeheimnis, die bei der Berechnung des Score-Wertes berücksichtigten Einzelinformationen sowie deren Gewichtung offenzulegen.

Die Klägerin wandte sich an die hessische Aufsichtsbehörde mit einer Beschwerde, die aber dort abgelehnt wurde. Dagegen erhob die Klägerin Klage beim VG Wiesbaden. Deren Richter zogen den Europäischen Gerichtshof (EuGH) hinzu und legten ihm Fragen zur Auslegung der DSGVO vor, die sich darum drehten, ob es sich bei dem Score-Wert um eine „automatisierte Entscheidung im Einzelfall“ handelt. Zum Hintergrund: Dieser Artikel normiert das Recht einer Person, gerade nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden, die rechtliche Wirkungen oder sonst in ähnlicher Weise erhebliche Wirkungen auf sie haben kann. Hier sollen noch Menschen mitentscheiden müssen.

Verbot der automatisierten Einzelfallentscheidung hier anwendbar?

Das vorlegende Verwaltungsgericht sah sich zur Vorlage veranlasst, weil es sein könne, dass die Norm des Art. 22 Abs. 1 DSGVO, die solche Entscheidungen behandelt, nicht auf Auskunfteien anwendbar ist. Es sei ja auch so, dass Art. 22 davon ausgeht, dass der Vertragspartner selbst das automatisierte Verfahren einsetzt, um z.B. einen Vertragsschluss zu einem Kredit zu bestimmen. Bei den Auskunfteien sind aber die Nutzer der Auskunftei, also z.B. Banken oder Versandhändler, die eigentlichen Entscheider. Andererseits müsse man Art. 22 DSGVO heranziehen können, da sich sonst Rechtsschutzlücken ergäben, da Ersteller des Score-Wertes und Entscheider auseinanderfallen. Ziehe man aber Art. 22 DSGVO heran, bestünden Zweifel an der Rechtskonformität der deutschen Regelung zum Scoring in § 31 BDSG. Dort sei nur die Verwendung eines Score-Wertes geregelt, nicht aber die Ermittlung dieses Wertes.

Schufa-Scoring unterliegt grundsätzlich dem Verbot

Der EuGH geht in seinem aktuellen Urteil davon aus, dass der Begriff der „Entscheidung“, die in einem automatisierten Verfahren gefällt werden muss, sehr weit zu bestimmen ist. Er könne auch mehrere Handlungen umfassen, also z.B. die ausschließlich automatisierte Bildung eines Score-Wertes und die darauf basierende Entscheidung einer anfragenden Bank. Da die Bank, wenn auch nicht immer, so doch in den meisten Fällen bei unzureichendem Score-Wert den Kreditantrag ablehnt, wird sie nach Ansicht der Luxemburger Richter vom Score-Wert „maßgeblich geleitet“. Daraus folge eine erhebliche Beeinträchtigung der Person. Damit unterfällt nach der verbindlichen Entscheidung des EuGH der Score-Wert der Regelung des Art. 22 DSGVO.

Daraus ergeben sich weitere Rechtsfolgen. Eine ausschließlich automatisierte Entscheidung ist zunächst verboten. Ausnahmen regelt dann Abs. 2. Der Verantwortliche hat zudem zusätzliche Informationspflichten nach Art. 13 Abs. 2 lit.. f und Art. 14 Abs. 2 lit . g DSGVO. Zum anderen steht der betroffenen Person nach Art. 15 Abs. 1 lit. h DSGVO ein Auskunftsrecht gegenüber dem für die Verarbeitung Verantwortlichen zu, das insbesondere „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“ betrifft.

Zulässige Ausnahme im deutschen Recht?

Ob in § 31 BDSG eine zulässige Ausnahme nach Art. 22 Abs. 2 DSGVO liegt, hat der EuGH offen gelassen und den schwarzen Peter an das Verwaltungsgericht weiter gegeben. Das soll jetzt prüfen, ob die Regelung alle Anforderungen erfüllt. Die Wiesbadener Richter hatten hieran schon Zweifel geäußert. Mit auf den Weg gab der EuGH den Prüfungsmaßstab, nach dem die gesetzliche Ausnahmeregelung auch die Anforderungen von Art. 5 und 6 DSGVO, also die Grundsätze der Datenverarbeitung und das Rechtmäßigkeitsprinzip beachten muss.

Fazit

Die Luxemburger Richter haben klare Pflöcke zur Reichweite des Verbots der ausschließlich automatisierten Entscheidungen eingeschlagen. Ausgerechnet das wichtige Scoring-Verfahren ist ohne weiteres daran zu messen. Es ist nicht nur bei Kreditentscheidungen relevant, sondern wird vielfach auch zur Zahlartensteuerung eingesetzt. Hier dürfte es dann kaum noch ausreichen, wenn ein Mensch z.B. vorsortierte Listen mit Score-Signalen (Ampelsignale) überfliegt, da das Ampelsignal des Score-Wertes immer noch maßgeblich die Entscheidung bestimmt. Es wird jetzt spannend sein zu beobachten, wie das VG Wiesbaden weiter vorgeht. Es kann sein, dass am Ende § 31 BDSG als Grundlage wegen Europarechtswidrigkeit komplett entfällt. Dann geht es um die konkrete Auskunft und Löschungsansprüche. Noch während des Prozesses hatte die Schufa Firmen angeschrieben, um sich bestätigen zu lassen, dass der Score nicht wesentlich für ihre Entscheidung sei. Das dürfte dann künftig der Dreh- und Angelpunkt werden.

Prozessfinanzierer, wie die Europäische Gesellschaft für Datenschutz (EuGD), scharren schon mit den Hufen. Hier kann es in Summe um erheblichen Schadensersatz gehen. Aber auch KI-gesteuerte Auswahlverfahren bei Bewerberprozessen werden von Konsequenzen erfasst. Überall dort, wo sich Unternehmen automatisierter Hilfen für wesentliche Entscheidungen mit erheblicher Auswirkung für den Betroffenen bedienen, müssen menschliche Entscheider mit einer nicht nur untergeordneten Rolle mit einbezogen werden.

Bild: Pixabay (Pexels, Pexels Lizenz)

nach oben
FAQ