von Henning Albers // Juristischer Mitarbeiter // Kanzlei am Südstern
» Am 7.12.2023 urteilte der EuGH zur datenschutzrechtlichen Zulässigkeit des Schufa-Scorings ((Urt. v. 07.12.2023, Az. C-634/21)
Wie es dazu kam und was es für die Zukunft bedeutet soll hier kurz erläutert werden.
Rechtlicher Hintergrund
Rechtlich ging es um die Frage, ob die Schufa als grundsätzlich unzulässige automatisierte Einzelfallentscheidung nach § 22 Abs. 1 DSGVO einzuordnen ist.
Diese Norm definiert negativ, dass man keiner ausschließlich auf automatisierter Verarbeitung beruhender Entscheidung, die Rechtskraft oder eine damit vergleichbare Wirkung entfaltet, unterworfen werden darf.
Im zweiten Absatz des Art. 22 DSGVO gibt es drei Ausnahmetatbestände für Art. 22 Abs. 1 DSGVO, auf welche weiter unten unter “Reaktionen” näher eingegangen wird.
Der Erwägungsgrund 71 S. 1 DSGVO wiederum definiert positiv, dass man das Recht hat, keiner Entscheidung, die unter ausschließlich automatisierter Verarbeitung “ohne jegliches menschliche Eingreifen” erfolgt, unterworfen werden darf.
Der Zweck dahinter ist, dass stets ein Mensch die letztliche Entscheidungsgewalt in solchen Fällen haben sollte. Eine weitgehend, aber nicht ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung ist demnach zulässig.
Unzulässig sind Szenarien, in denen der/die Betroffene/-r bspw. einer einzig auf einen Algorithmus beruhenden Entscheidung unterworfen wird.
Prozessualer Hintergrund
Der Kreditantrag einer Verbraucherin wurde aufgrund ihres Schufa-Scores abgelehnt.
Daraufhin klagte die Frau auf Auskunft und Löschung ihrer Daten bei der Schufa. Diese verweigerte beides. Nach Anrufung der hessischen Datenschutzbeauftragte handelte ebenfalls nicht. So ging der Fall zum Verwaltungsgericht Wiesbaden, welches den Fall im Oktober 2021 an den EuGH weiterleitete.
(Beschl. v. 01.10.2021, Az. 6 K 788/20).
Urteil des EuGH
Der EuGH entschied, dass beim Schufa-Scoring eine “automatisierte Entscheidung im Einzelfall” vorliegt, “sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.”
In diesem Leitsatz der Entscheidung leistet vor allem das Wörtchen “maßgeblich” große Arbeit.
Das Gericht folgerte, dass bei einem Kreditersuchen einer Verbraucherin mit schlechtem Score die Bank in aller Regel die Kreditvergabe gerade aufgrund dieses schlechten Scores verneinen würde (Rn. 48).
Demnach sind Entscheidungen von Dritten, die “maßgeblich” davon abhängen, wie der Schufa-Score ist, nach Art. 22 Abs. 1 grundsätzlich unzulässig.
Der EuGH überließ die Prüfung, ob bei der Schufa ein Ausnahmetatbestand vorliegen könnte, dem vorlegenden Gericht in Wiesbaden.
Reaktionen auf das Urteil
Die Reaktionen fielen gemischt aus. Von Zustimmung von der Verbraucherseite, einer Befürchtung einer Einschränkung von KI in Europa durch Schufas Prozessvertreter bis hin zum Begrüßen des Urteils durch die Schufa selbst: Das Medienecho fiel groß und weitgefächert aus.
Aus der Stellungnahme der Schufa liest sich, dass dort vor allem auf den Ausnahmetatbestand des § 31 BDSG gesetzt wird. Wie das Gericht in Wiesbaden entsscheidet, bleibt abzuwarten.
Eigene Einschätzung
Ich persönlich halte es für unwahrscheinlich, dass in Wiesbaden ein Ausnahmetatbestand bejaht werden wird. Auch der § 31 BDSG muss sich stets an die DSGVO als vorrangigem Recht orientieren.
Ich halte alle drei Ausnahmetatbestände des Art. 22 Abs. 2 DSGVO für nicht einschlägig:
Art. 22 Abs. 2 a) DSGVO nicht, da das vorherige Versichern des Vertragspartner von der Liquidität des anderen nicht erforderlich für die überwiegende Anzahl aller Verträge.
Art. 22 Abs. 2 b) DSGVO nicht, da der infrage kommende § 31 BDSG explizit in Abs .1 S. 1 auf die Notwendigkeit der datenschutzrechtlichen Zulässigkeit aufbaut. Diese wäre gegeben, wenn Unternehmen, die sich an dem Score orientieren, auch nachweislich Menschen in ihren Entscheidungsprozess einbinden müsste. Wie dies organisatorisch, finanziell und prozessual in Bezug auf die Beweislast auszugestalten sei, erscheint als Sisyphos-Aufgabe.
Art. 22 Abs. 2 c) DSGVO nicht, da selbst wenn Schufa und Drittunternehmen eine Einwilligung der betroffenen Person einholen würden, müsste diese auch freiwillig und zwanglos erfolgt sein, Erwägungsgrund 43 Satz 1 DSGVO. Das darin gegebene “klare Ungleichgewicht” dürfte grundsätzlich, wie im vorliegenden Fall durch Absage einer Kreditvergabe maßgeblich auf einem Score beruhend, gegeben sein.
Was jedenfalls sicher ist: Der EuGH hat Verbrauchern mit schlechtem Schufa-Score ein kleines Nikolaus-Geschenk bereitet.
Falls Sie Fragen zur Schufa oder andersweitig rechtliche Beratung suchen, stehen wir von der Kanzlei am Südstern Ihnen gerne zur Seite.
Sie können einen Beratungstermin unter der Telefonnummer 030 695 330 96 oder uns per E-Mail unter kontakt@kanzlei-am-suedstern.de kontaktieren.