Zurück zur Übersicht
12.12.2023Fachbeitrag

Update Datenschutz Nr. 161

EuGH entscheidet zum Schufa-Scoring – gelebte Praxis nicht mit der DSGVO vereinbar

In zwei Entscheidungen hat der Europäische Gerichtshof („EuGH“) am 7. Dezember 2023 über das Schufa-Scoring und die Verarbeitungspraxis der SCHUFA Holding AG („SCHUFA“) entschieden. Das Schufa-Scoring stellt nach Ansicht des EuGH eine – grundsätzlich unzulässige – automatisierte Entscheidung im Einzelfall dar, soweit die Kunden der SCHUFA dem Scoring eine maßgebliche Rolle im Rahmen der Kreditgewährung beimessen. Das vorlegende Gericht muss nun prüfen, ob das BDSG eine geeignete Ausnahme hierzu bereithält. Der EuGH entschied zudem, dass private Auskunfteien Daten über die Restschuldbefreiung nicht länger speichern dürfen als öffentliche Insolvenzregister. 

Hintergrund

Über den Sachverhalt berichteten wir bereits ausführlich in unserem Update Datenschutz Nr. 137. Daher nur noch in aller Kürze:

Der EuGH hatte über insgesamt drei Vorabentscheidungsverfahren des Verwaltungsgerichts („VG“) Wiesbaden zu entscheiden.

Im ersten der drei Vorlageverfahren (C-634/21) ging es insbesondere um die Frage, ob es sich bei dem Scoring durch die SCHUFA um eine automatisierte Entscheidung im Sinne des Art. 22 DSGVO handelt. Der Scorewert beruht auf dem Scoring, einem „mathematisch-statistischen Verfahren“, auf dessen Basis die Wahrscheinlichkeit künftigen (Zahlungs-)Verhaltens, z. B. die Rückzahlungswahrscheinlichkeit eines Kredits, bemessen werden kann.

Die SCHUFA wendete im Verfahren ein, nur einen Scorewert zu berechnen und diesen Vertragspartnern zugänglich zu machen, aber keine (automatisierten) Entscheidungen über die Kreditvergabe zu treffen; diese träfen die Vertragspartner, z. B. Banken.

Zudem ging es um die Frage, ob die Vorgaben der DSGVO der Anwendung des § 31 BDSG entgegenstehen. § 31 BDSG gestattet Scoring und Bonitätsauskünfte zum Schutz des Wirtschaftsverkehrs. Das vorlegende Gericht stellte dem EuGH hierzu entsprechende Fragen und wollte insbesondere wissen, ob die Erstellung des Scorewertes bereits eine automatisierte Entscheidung im Sinne des Art. 22 DSGVO darstellt, wenn ein weiterer Verantwortlicher (z. B. SCHUFA-Kunde) über die Kreditgewährung entscheide und, falls nicht, ob die DSGVO einer Anwendung von § 31 BDSG entgegenstehe.

Die beiden anderen miteinander verbundenen Vorlageverfahren (C-26/22 und C-64/22) betreffen die Löschung von SCHUFA-Einträgen zur Restschuldbefreiung. Die SCHUFA speicherte diese Informationen drei Jahre lang, während öffentliche Insolvenzregister sie sechs Monate nach Erteilung der Restschuldbefreiung löschen. Das vorlegende Gericht fragte, ob dies datenschutzrechtlich zulässig sei und ob die Betroffenen nach Ablauf der für das öffentliche Insolvenzregister geltenden Speicherdauer von der SCHUFA zugleich auch Löschung des entsprechenden Eintrags in den Datenbanken der SCHUFA verlangen können.

EuGH zur Vereinbarkeit des Scoring mit den Grundsätzen der DSGVO (C-634/21)

Der EuGH entschied, dass das Scoring eine nach der DSGVO grundsätzlich unzulässige „automatisierte Entscheidung im Einzelfall“ darstellt, sofern von dieser maßgeblich abhängt, ob ein Dritter, dem der Scorewert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet. Das vorlegende Gericht müsse prüfen, ob das BDSG von diesem Verbot eine wirksame Ausnahme enthält und, falls dies der Fall sein sollte, ob die allgemeinen Voraussetzungen der DSGVO für die Verarbeitung von personenbezogenen Daten erfüllt sind.

Das Scoring stellt nach dem EuGH eine solche automatisierte Entscheidung dar, wenn die Kunden der SCHUFA, z. B. Banken, von dem Scorewert ihre Entscheidung (z. B. über die Kreditgewährung) maßgeblich abhängig machen.

Nach Auffassung des vorlegenden Gerichts sei das im Ausgangsfall der Fall. Die beigeladene SCHUFA argumentierte hingegen, nicht in den Anwendungsbereich des Art. 22 DSGVO zu fallen. Sie unterstütze ihre Kunden mit der Bereitstellung der Daten zwar bei der Entscheidungsfindung, sie treffe selbst aber keine Entscheidungen. Der EuGH sah dies anders, die Voraussetzungen von Art. 22 Abs. 1 DSGVO seien erfüllt. Es handele sich bei dem Scoring um eine automatisierte Entscheidung, die gegenüber der betroffenen Person eine „rechtliche Wirkung“ entfalte bzw. sie „in ähnlicher Weise erheblich“ beeinträchtige. Dies folge aus den Sachverhaltsfeststellungen des vorlegenden Gerichts, wonach im Fall eines Verbraucherkreditantrags ein unzureichender Scorewert in nahezu allen Fällen dazu führen würde, dass die Bank den Antrag ablehnen würde. Folglich sei davon auszugehen, dass ein Scorewert die betroffene Person zumindest erheblich beeinträchtigt.

Das VG Wiesbaden hat zu jetzt prüfen, ob das BDSG im Einklang mit der DSGVO eine wirksame Ausnahme von diesem Verbot enthält. Art. 22 Abs. 2 lit. b DSGVO erlaubt es den Mitgliedstaaten, entsprechende Rechtsvorschriften zur automatisierten Entscheidungsfindung zu erlassen. Eine solche Regelung könnte sich in § 31 BDSG finden lassen, die sich nun auf Vereinbarkeit mit Art. 22 DSGVO messen lassen muss. Sofern das VG Wiesbaden dies bejaht, hätte es weiter zu prüfen, ob überdies die in den Art. 5 und 6 DSGVO aufgestellten Anforderungen im vorliegenden Fall erfüllt sind.

Speicherpraxis zur Restschuldbefreiung unzulässig (C-26/22 und C-64/22)

Weiter entschied der EuGH, dass die bisherige Praxis der SCHUFA zur Speicherung von Daten zur Restschuldbefreiung aus öffentlichen Insolvenzregistern nicht mit der DSGVO vereinbar ist. Private Auskunfteien wie die SCHUFA dürfen Informationen über die Erteilung der Restschuldbefreiung also nicht länger speichern als öffentliche Insolvenzregister.

Nach § 3 Abs. 1 InsBekV ist die Speicherung solcher Daten in öffentlichen Registern für einen Zeitraum von sechs Monaten nach Erteilung der Restschuldbefreiung vorgesehen. Für die Speicherung der Daten bei der SCHUFA bedeute dies laut dem EuGH, dass nach Ablauf der sechs Monate dem Betroffenen ein Anspruch auf Löschung dieser Daten zustehe und die SCHUFA entsprechend verpflichtet sei, diese Daten unverzüglich zu löschen. Der EuGH begründet dies u. a. damit, dass die Speicherung und Weitergabe dieser Daten einen schweren Eingriff in die in den Art. 7 und 8 der Charta verankerten Grundrechte der betroffenen natürlichen Person begründe. Weiterhin diene die Restschuldbefreiung dazu, dem Schuldner die Teilnahme am Wirtschaftsleben zu ermöglichen und ihr komme eine "existenzielle Bedeutung" zu. Dieser Zweck würde unterlaufen, wenn Auskunfteien berechtigt wären, solche Daten auch nach ihrer Löschung aus dem öffentlichen Insolvenzregister zu speichern und zu verarbeiten, da diese Daten bei der Bewertung der Kreditwürdigkeit einer solchen Person stets als negativer Faktor verwendet werden würden. 

Die Zulässigkeit der parallelen Speicherung der Daten zur Restschuldbefreiung durch die SCHUFA innerhalb der sechsmonatigen Speicherfrist wiege zwar weniger schwer als die Speicherung über die sechs Monate hinaus. Diese Speicherung stelle aber dennoch einen Eingriff in die Rechte aus Art. 7 und 8 der Charta der Grundrechte der EU dar. Laut dem EuGH ist das vorlegende Gericht gefragt, eine Interessenabwägung der widerstreitenden Interessen vorzunehmen.

Ausblick

Die Urteile des EuGH sind von elementarer Bedeutung für die privaten Auskunfteien aber nicht zuletzt auch für deren Kundenkreis. Dabei ist die große Bedeutung des Scorewertes für Kunden der SCHUFA, z. B. Banken, Online-Händler oder auch Energieversorger in den Blick zu nehmen. Für sie ist der Schufascore bei Vertragsschluss oftmals eines der wenigen Mittel zur Absicherung der Risiken eines Zahlungsausfalls. Verlassen sich Unternehmen, z. B. im Rahmen der Kreditgewährung, allein auf den Scorewert, fällt dies unter das grundsätzliche Verbot von Art. 22 DSGVO.

Unternehmen, die sich maßgeblich auf den Scorewert bei Vertragsschlüssen verlassen, sollten bereits jetzt ihre Prozesse auf den Einklang mit Art. 22 DSGVO überprüfen. Zwar hat VG Wiesbaden zunächst zu prüfen, ob das nationale Recht nicht mit § 31 BDSG eine entsprechende Ausnahme bereithält, die das Scoring (doch) erlaubt. Große Überraschung sind dabei nicht zu erwarten: Das VG Wiesbaden äußerte bereits im Vorlageersuchen „durchgreifende Bedenken“ hinsichtlich der Vereinbarkeit mit dem EU-Recht. Auch der Generalanwalt hatte in seinen Schlussanträgen die Ansicht vertreten, dass § 31 BDSG keine unionsrechtskonforme Rechtsgrundlage darstelle.

Wirtschaftsauskunfteien dürfen die Daten zudem nicht länger als die öffentlichen Insolvenzregister speichern. Ob sie diese Daten parallel speichern dürfen, muss das vorlegende Gericht klären. In einer Erklärung auf ihrer Website ließ die SCHUFA bereits verlauten, unmittelbar im Anschluss an die Schlussanträge des Generalanwalts im März 2023 die Speicherfristen dieser Daten auf sechs Monate herabgesetzt zu haben.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Philip Kempermann, LL.M.
Düsseldorf
Julian Rosenfeld
Düsseldorf

Ansprechpartner

Dr. Philip Kempermann, LL.M.
Düsseldorf
Julian Rosenfeld
Düsseldorf

Weitere Artikel

14.05.2024
Datenschutzkonforme Nutzung von künstlicher Intelligenz – Datenschutzbehörden veröffentlichen Orientierungshilfe
07.05.2024
Erschummeltes Lob? Fake-Bewertungen (auch) von Anwälten sind (natürlich) wettbewerbswidrig
03.05.2024
Aktuelle Rechtsprechung zum ärztlichen Werberecht – Vorher-Nachher-Bilder, ärztliche Videosprechstunden und irreführende Fachqualifikationen
29.04.2024
Datenschutzverstoß – Enthaftung des Verantwortlichen durch weisungswidriges Verhalten von Arbeitnehmern?
25.04.2024
Europäische Kommission verstößt gegen DSGVO – Wiederaufleben der Debatte um die Nutzung von Microsoft 365?
23.04.2024
Aktuelles zum Spannungsfeld zwischen Design- und Urheberschutz
27.03.2024
Die Umsetzung der NIS2-Richtlinie in Deutschland: Herausforderung bei der Bestimmung des Anwendungsbereichs bei Konzernen
20.03.2024
Achtung Online-Marketer: Neues EuGH-Urteil zum IAB TCF
13.03.2024
EU-Digitalrecht: Formelle Einigung im EU-Parlament zur KI-Verordnung, zum Cyber Resilience Act und zum European Media Freedom Act
06.03.2024
Neues OLG-Urteil: Unterliegt die private E-Mail-Nutzung dem Fernmeldegeheimnis?
28.02.2024
Änderungen im BDSG und TTDSG – Was sich ändert und worauf insbesondere Unternehmen zu achten haben
27.02.2024
Online-Coaching und das Fernunterrichtsschutzgesetz – 180-Grad Wende der Rechtsprechung

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.