Scoring-Verfahren stehen schon seit längerer Zeit in der Kritik. Automatisierten Entscheidungen, einschließlich Profiling, stoßen gemäß Art. 22 der Datenschutzgrundverordnung (DSGVO) ohnehin auf hohe Hürden. Das EuGH-Urteil vom 07.12.2023 hat nun dem Scoring-Verfahren der SCHUFA neue Grenzen aufgezeigt.
Was ist ein Scoring-Verfahren und warum wird es genutzt?
Ein Scoring-Verfahren ist eine Methode zur Bewertung von Risiken oder Eigenschaften von Personen oder Unternehmen anhand einer festgelegten Kriterienliste. In finanziellen Kontexten, wie bei der SCHUFA (Schutzgemeinschaft für allgemeine Kreditsicherung) in Deutschland, wird das Scoring-Verfahren verwendet, um die Kreditwürdigkeit von Verbrauchern zu bewerten. Kriterien zur Bestimmung des Scores können dann Merkmale wie Wohnort, Nettoeinkommen und Alter sein. Der daraus resultierende Gesamtscore ist dann interessant für z.B. Versicherungen, Kreditinstitute oder beim Abschluss von Handyverträgen.
Vorgeschichte und das Urteil
Eine Person erhielt nach einer ungünstigen Schufa-Auskunft eine Kreditablehnung. Infolgedessen forderte sie von der SCHUFA Auskunft über ihre gespeicherten Daten und beantragte die Löschung als falsch erachteter Informationen. Die SCHUFA reagierte, indem sie den tatsächlichen Score-Wert mitteilte und grob erklärte, wie dieser berechnet wird. Jedoch verweigerte sie die Offenlegung der einzelnen Informationen, die in die Score-Berechnung einflossen. Die Auskunftei betonte, dass die eigentliche Vertragsentscheidung beim Vertragspartner z.B. dem Kreditinstitut liege und die SCHUFA diese Informationen nur weiterleite. Nach erfolgloser Beschwerde bei der Aufsichtsbehörde verfolgte die Betroffene ihr Anliegen mit einer Klage weiter.
Im weiteren Verlauf stand das Verwaltungsgericht Wiesbaden vor der Herausforderung zu klären, ob die Übermittlung eines Scores an einen weiteren Vertragspartner als Entscheidungsgrundlage auch unter dem grundsätzlichen Verbot der automatisierten Entscheidung im Einzelfall nach Art. 22 Abs. 1 DSGVO fällt.
Nach dem Urteil des EuGH müssen zur Anwendung von Art. 22. Abs. 1 DSGVO drei Voraussetzungen erfüllt sein:
– Das Vorliegen eines „Profiling“ im Sinne von Art. 4 Nr. 4 DSGVO
– Die Entscheidung muss gegenüber der betroffenen Person „rechtliche Wirkung“ entfalten oder „sie in ähnlicher Weise erheblich beeinträchtig[en]“
– Die „Entscheidung“ muss „ausschließlich auf einer automatisierten Verarbeitung [beruhen]“
Nach Ansicht des Gerichts handelt es sich bei der Tätigkeit der SCHUFA unzweifelhaft um Profiling gemäß der Definition in Art. 4 Nr. 4 DSGVO. Außerdem entfaltet der Score der Betroffenen Person, rechtliche Wirkung und damit die zweite Voraussetzung, da ein niedriger Score höchstwahrscheinlich dazu führt, dass ein Vertragspartner z.B. ein Mobilfunkanbieter den Kunden ablehnt. Die dritte Voraussetzung besteht aus zwei Teilen. Der Erwägungsgrund 71 der DSGVO nennt als typisches Beispiel zur Entscheidung die „automatische Ablehnung eines Online-Kreditantrags“ und somit ist die Voraussetzung gegeben. Des Weiteren beschreibt die Ermittlung eines Score-Wertes aus mathematischen und statistischen Verfahren, wie es bei der SCHUFA Auskunft üblich ist, dass die Entscheidung automatisiert vorgenommen wurde.
Das EuGH stuft aus o.g Erwägungen die Übersendung des Scoring-Wertes an das Kreditinstitut als eine Entscheidung nach Art. 22 Abs.1 DSGVO ein, da dies eine wesentliche Rolle bei der Gewährung eines Kredits spielt und dabei „rechtliche Wirkung“ entfaltet.
Kurzum
Die SCHUFA verstößt gegen die Datenschutz-Grundverordnung (DSGVO), wenn Vertragspartner dem SCHUFA-Score eine „maßgebliche“ Rolle in ihren Entscheidungen beimessen. Gemäß der DSGVO dürfen wesentliche Entscheidungen nicht allein auf Grundlage automatisch verarbeiteter Daten getroffen werden, ohne dass dabei Menschen mitwirken.
Der EuGH machte aber auch klar, dass diese Praxis ausnahmsweise erlaubt sein kann, wenn der nationale Gesetzgeber eine Ausnahmevorschrift erlässt, wie diese im Bundesdatenschutzgesetz (BDSG) besteht. Abzuwarten bleibt noch, ob das deutsche Gesetz (§31 BDSG) mit dem Unionsrecht zu vereinbaren ist. Die Unvereinbarkeit würde bedeuten, dass das Scoring der SCHUFA in seiner jetzigen Form von keiner Sonderregelung mehr gedeckt ist und Unternehmen ihre Vertragsentscheidung nicht mehr allein auf diesen Score schützen könnten.
Natürlich sind die Auswirkungen des EuGH-Urteils noch nicht gänzlich absehbar. Denn die endgültigen Konsequenzen werden erst mit der Klärung über die Vereinbarkeit des deutschen Gesetzes mit dem Unionsrecht vollständig absehbar sein. Klar ist aber, dass mit diesem Urteil zumindest im Ersten Schritt die Betroffenenrechte gestärkt wurden.
Bei weiteren Fragen zu diesem oder anderen Themen, stehen wir Ihnen jederzeit zur Verfügung.
Folgende Beiträge könnten Sie auch interessieren:
Pingback: Die Einführung des E-Rezepts und die Bedeutung für Patienten – Datenschutz Consulting Dresden