Der Europäische Gerichtshof (EuGH) nahm Stellung zu zwei wichtigen Vorlagefragen über Praktiken der deutschen Auskunftei Schufa. Zum einen ging es um die Zulässigkeit des Schufa-Scores als Bonitätsprüfung. Zum anderen ging es um die Nutzung öffentlich verfügbarer Daten zu Privatinsolvenzen.
Die Urteile dürften weitreichende Konsequenzen für die Bonitätsprüfung durch (Online-)Händler haben, wie unsere Analyse zeigt (Urteile vom 7. Dezember 2023, Az.: C-634/21 sowie Rs.: C-26/22 und C-64/22).
Verfahren und Vorlagefragen zur Schufa an den EuGH
Ausgangspunkt für die EuGH-Verfahren waren mehrere Beschwerden vor dem Verwaltungsgericht Wiesbaden gegen Bescheide des hessischen Datenschutzbeauftragten (HBDI), der sich weigerte, gegen bestimmte Tätigkeiten der Schufa vorzugehen.
In beiden Fällen war den Betroffenen die Gewährung eines Kredits durch eine Bank verweigert worden, nachdem die Schufa eine negative Auskunft erteilt hatte. Das Ersuchen der Betroffenen auf Auskunft bzw. Löschung der sie betreffenden personenbezogenen Daten verweigerte die Schufa. Daraufhin legten die Betroffenen Beschwerde beim HBDI ein, die dieser jedoch zurückwies. Die betroffenen Personen erhoben vor dem Verwaltungsgericht (VG) Wiesbaden Klage gegen die ergangenen Bescheide. Das VG Wiesbaden setzte das Verfahren aus und legte dem EuGH folgende Fragen zur Vorabentscheidung vor:
Vorlagefrage zum Schufa-Scoring
Im ersten Fall ging es um die Frage, ob das Schufa-Scoring als automatisierte Verarbeitung gemäß Art. 22 Abs. 1 DSGVO zu betrachten ist. Gemäß dieser Bestimmung ist untersagt, betroffene Personen einer Entscheidung oder Maßnahme zu unterwerfen, die ausschließlich auf einer automatisierten Verarbeitung basiert, und die der Person gegenüber einer rechtlichen Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
Regelmäßig fragen Banken, Händler, Telekommunikationsdienste oder auch Energieversorger bei Auskunfteien nach der Kreditwürdigkeit des Betroffenen, bevor ein Kredit oder ein Laufzeitvertrag zustande kommt. Auskunfteien wie Schufa ermitteln einen Wahrscheinlichkeitswert bezüglich der Fähigkeit einer Person zur Erfüllung künftiger Zahlungsverpflichtungen (Prognose). Dieser Wahrscheinlichkeitswert beeinflusst maßgeblich, ob ein Dritter, dem dieser Wert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.
Wie dieser Wahrscheinlichkeitswert genau errechnet wird, ist jedoch nicht bekannt. Die Auskunfteien betrachten dies als Geschäftsgeheimnis. Kunden der Auskunfteien wollen sich anhand dieser Prognosen absichern und Ausfallrisiken vermeiden. Jedoch hängt der Wahrscheinlichkeitswert maßgeblich von den Informationen ab, die eine Auskunft der Berechnung zugrunde liegt.
Betroffene können regelmäßig nur von ihrer Bank oder ihrem Händler Auskunft einfordern, warum und nach welchem Verfahren diese entscheiden. Da Auskunfteien ihre Berechnungsformeln für den Wahrscheinlichkeitswert nicht offenlegen, ist eine Auskunft regelmäßig nicht möglich.
Vorlagefrage zur (überlangen) Speicherdauer von Daten der Restschuldbefreiung
Im zweiten Fall zeigte das VG Wiesbaden Interesse an der Frage nach der Rechtmäßigkeit der zulässigen Speicherdauer der Daten zur Restschuldbefreiung nach einer Insolvenz.
In Deutschland besteht für Privatpersonen die Option, mittels Verbraucherinsolvenz innerhalb eines bestimmten Zeitraums von ihren Schulden befreit zu werden. Diese Option besteht auch, wenn sie nicht alle Schulden zurückzahlen können. Ziel der Restschuldbefreiung ist, dass die betroffenen Personen wieder am Wirtschaftsleben teilnehmen können. Die Rechtsschuldbefreiung wird nach Abschluss eines erfolgreichen Verfahrens gewährt. Diese Informationen werden durch Insolvenzgerichte veröffentlicht, jedoch nach einem halben Jahr auch wieder gelöscht. Die Schufa löscht solche Vermerke jedoch erst nach drei Jahren aus ihrem Register.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Urteilsspruch zum Schufa-Scoring
Der EuGH stellte in seinem ersten Urteil fest, dass die Berechnung des Wahrscheinlichkeitswerts durch die Schufa eine automatisierte Entscheidung ist, die gemäß Art. 22 Abs. 1 DSGVO (mit wenigen Ausnahmen) verboten ist. Zudem wies der Gerichtshof das Argument der Schufa zurück, die behaupte, sie bereite nur die Entscheidungen ihrer Kunden vor, in dem sie einen Bonitätswert ermittelt.
Das Gericht hob hervor, dass die Anwendbarkeit von Art. 22 Abs. 1 von drei kumulativen Voraussetzungen abhängt:
- Entscheidung: Der Begriff „Entscheidung“ bezieht sich nicht nur auf Handlungen, die rechtliche Wirkung entfalten, sondern auch auf Handlungen, die die betroffene Person in ähnlicher Weise erheblich beeinträchtigen. Dies schließt automatisierte Entscheidungen wie die Berechnung der Fähigkeit zur Erfüllung von Zahlungsverpflichtungen ein.
- Ausschließlich automatisierte Verarbeitung: Die Entscheidung muss ausschließlich auf automatisierter Verarbeitung basieren, einschließlich Profiling. Hierbei bezieht sich Profiling auf die Verwendung von personenbezogenen Daten zur Bewertung bestimmter persönlicher Aspekte.
- Rechtliche Wirkung oder erhebliche Beeinträchtigung: Die Entscheidung muss rechtliche Wirkung gegenüber der betroffenen Person entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen. Im vorliegenden Fall stellte das Gericht fest, dass der Wahrscheinlichkeitswert, der von einer Auskunftei erstellt wird, maßgeblich das Handeln eines Dritten beeinflusst und somit die betroffene Person erheblich beeinträchtigt.
Scoring ist somit als einer von der DSGVO grundsätzlich verbotene „automatisierte Entscheidung im Einzelfall“ anzusehen, wenn Kunden von Auskunfteien, dem Scoring eine „maßgebliche Rolle bei der Gewährung eines Kredits“ beimessen.
Wenn eine automatisierte Entscheidung aber ausnahmsweise doch rechtlich zulässig sein soll, benötigt es eine europarechtskonforme nationale Grundlage. Das Verwaltungsgericht Wiesbaden muss nun prüfen, ob § 31 Bundesdatenschutzgesetz (BDSG) eine gültige Ausnahme von diesem Verbot im Einklang der DSGVO enthält und ob die in der DSGVO vorgesehenen allgemeinen Voraussetzungen für die Datenverarbeitung erfüllt sind. Der Generalanwalt beim EuGH und das VG selbst haben bereits Bedenken an der Wirksamkeit des BDSG-Paragrafen geäußert, der die Zulässigkeit des Scorings in Deutschland bisher regelt. Entgegen einigen Behauptungen, verweist Der EuGH lediglich auf diese Bedenken, ohne sich selbst zu dieser Frage zu positionieren.
Urteilsspruch zur Speicherdauer von Daten zur Restschuldbefreiung
Im zweiten Urteil entschied der EuGH, dass die Speicherung der Informationen über die Erteilung einer Restschuldbefreiung nur dann rechtmäßig ist, wenn eine der in Art. 6 DSGVO enthaltenen Rechtsgrundlagen erfüllt ist. An dieser Stelle sei nochmals in Erinnerung zurückzurufen, dass die Schufa diese Informationen für drei Jahre speichert, im öffentlichen Insolvenzregister findet eine Löschung dieser Informationen jedoch bereits nach sechs Monaten statt.
Nach Auffassung des EuGHs kann als Rechtsgrundlage nur Art. 6 Abs. 1 lit f) in Betracht gezogen werden, also das berechtigte Interesse. Diese Rechtsgrundlage erfordert einer Abwägung der Interessen aller Beteiligten. Die Verarbeitung nach dieser Bestimmung ist rechtmäßig, wenn drei kumulative Voraussetzungen erfüllt sind: (1) Es muss ein berechtigtes Interesse des Verantwortlichen oder Drittinteresse an der Verarbeitung vorliegen, (2) die Verarbeitung muss für die Verwirklichung dieser berechtigten Interessen zwingend erforderlich sein, (3) dürfen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, deren Daten geschützt werden sollen, dürfen nicht überwiegen.
Dazu führen die Richter aus:
- Bei der Bewertung des berechtigten Interesses sind die Voraussetzungen laut EuGH erfüllt. Die Verarbeitung der Daten zur Rechtsschuldbefreiung steht zum einen im eigenen wirtschaftlichen Interesse der Schufa, diese Information ihren Vertragspartnern bereitstellen zu können. Zum anderen dient die Verarbeitung dieser Daten zur Wahrung des berechtigten Interesses der Vertragspartner der Schufa, die Verträge nur mit Personen abschließen wollen, die kreditwürdig sind.
- der Frage zur Erforderlichkeit der Speicherung der Rechtsschuldbefreiung, beantwortet der EuGH diese Voraussetzung zusammen mit der Prüfung der dritten Voraussetzung.
- Der EuGH argumentiert, dass eine Speicherung der Restschuldbefreiung von länger als sechs Monaten den Zweck der Restschuldbefreiung gefährden würde. Das Ziel der Restschuldbefreiung ist es, der betroffenen Person die Teilnahme am Wirtschaftsleben zu ermöglichen und somit auch die Möglichkeit, wieder entsprechende Verträge abschließen bzw. Kredite erhalten zu können. Sofern nun Auskunfteien diese Informationen länger speichern dürfen als sie im öffentlichen Insolvenzregister verfügbar sind, würde der angestrebte Zweck der Restschuldbefreiung unterlaufen.
Im Ergebnis steht für den EuGH, dass Auskunfteien solche Daten nicht länger speichern dürfen als ein öffentliches Insolvenzregister. Es überwiegt also das Interesse des Schuldners, sich nicht mehr mit Informationen konfrontieren lassen zu müssen, die im öffentlichen Register bereits gelöscht wurden. Da eine Speicherung der Daten über die sechs Monate hinaus nicht rechtmäßig ist, hat die betroffene Person das Recht auf unverzügliche Löschung bei der Schufa. Die Auskunftei ist verpflichtet, diese Daten unverzüglich zu löschen.
Ob Auskunfteien wie die Schufa diese Information zur Restschuldbefreiung überhaupt für sechs Monate speichern dürfen, lässt der EuGH offen. Diese Frage muss nun vom Verwaltungsgericht Wiesbaden beantwortet werden. Liest man zwischen den Zeilen, bezweifelt der EuGH jedoch, dass dies gerechtfertigt werden kann, da Interessierte diese Informationen direkt aus dem öffentlichen Register entnehmen können.
Fazit
Das Schufa-Scoring ist zumindest dann verboten, wenn sich Unternehmen bei der Entscheidung über einen Vertragsschluss maßgeblich darauf stützen. Durch das Urteil wird bestätigt, dass Algorithmen nicht allein entscheiden dürfen, ob ein Vertrag abgeschlossen bzw. ein Kredit genehmigt wird oder nicht. Eine Einzelfallprüfung muss von einem Menschen erfolgen und transparent sein.
Eine Abschaffung von Score-Werten bei Auskunfteien geht mit dem Urteil zwar nicht einher, jedoch wird der Einsatz dieser Verfahren deutlich eingegrenzt. Unternehmen dürfen sich bei der Bewertung der Kreditwürdigkeit nicht mehr ausschließlich auf den Score-Wert der Schufa berufen.
Eine Anpassung von Scoring-Praktiken dürften für Unternehmen zu neuen Herausforderungen bezüglich der Bonitätsprüfung führen. Diese Praxis ist nur dann ausnahmsweise erlaubt, wenn nationale Gesetze eine Ausnahme möglich machen. Der Ball liegt nun wieder beim VG Wiesbaden. Das Gericht muss nun prüfen, ob §32 BDSG eine gültige Ausnahme von diesem Verbot darstellt.
Da Art. 22 DSGVO auf das Scoring anwendbar ist, dürfte auch das Urteil des Bundesgerichtshofs (BGH) vom 28. Januar 2014 zum Schutz der Score-Formel (VI ZR 156/13) auf der Kippe stehen. Laut BGH der Algorithmus aufgrund des Interesses einer Auskunftei an der Geheimhaltung ihres Algorithmus als zentrales Geschäftsgeheimnis anzusehen und deshalb nicht vom Auskunftsrecht umfasst. Nach Art. 13 und 14 DSGVO müssen beim Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gem. Art. 22 Abs. 1 „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffenen Person“ zur Verfügung gestellt werden.
Das zweite Urteil hat wohl eher keine unmittelbaren Konsequenzen für die Schufa. Bereits im April 2023 hat die Schufa die Speicherdauer auf sechs Monate verkürzt. Aber auch hier bleibt abzuwarten, ob die parallele Speicherung konform ist. Diese Frage gilt ebenfalls vom VG Wiesbaden zu beurteilen.
Dennoch gerät das Geschäftsmodell der Schufa wohl ins Wanken, da die Vertragspartner sich nicht mehr ausschließlich und ohne weitere Prüfung auf den Score berufen dürfen. Dass für Energieversorger, Verkehrsunternehmen und Versandhändler der Score bei der Bewertung für Vertragsentscheidungen bisher maßgeblich war, zeigten Recherchen von Süddeutscher Zeitung und NDR.
Die EuGH-Entscheidung wird sich nicht nur auf die Schufa beschränken. Auch die anderen privaten Auskunfteien in Deutschland und Europa sind von dem Urteil ebenso betroffen.
