Datenschutzrecht 2023: Schufa-Scoring verstößt gegen DSGVO?

Geschrieben von: Henrik Noszka

Der Europäische Gerichtshof dürfte bald eine - insbesondere für Deutschland - folgenschwere Entscheidung treffen: Verstößt das automatisierte Scoring der Schufa gegen die Datenschutzgrundverordnung ("DSGVO")? Das Landgericht Wiesbaden legte diese Frage dem Europäischen Gerichtshof vor. Im Prozess beziehen die Generalanwälte Stellung. Der mit dem Fall betraute estnische Generalanwalt, Priit Pikamäe legte nun in seinem Schlussantrag Nahe, dass dies der Fall sein könnte.

Der Sachverhalt

Die Schufa Holdig AG war nur Beigeladene des dem Landgericht Wiesbaden vorliegenden Sachverhaltes. Dem Kläger wurde wegen wegen einer negativen Schufa Auskunft die Kreditierung verweigert. Daraufhin wandte er sich mit einem Auskunftsverlagen an die Schufa, welche ihm mitteilte, er habe nur einen Scoring Wert von knapp 85%. Im Prozess bekamen die Richter*innen in Wiesbaden Zweifel, ob die Schufa dem Geltungsbereich der DSGVO unterfällt. Dies hätte große Auswirkungen insbesondere wegen des Scoring-Wetes. 

Der Auskunftsanspruch, auf den sich der Kläger auch berief, ist häufig Gegenstand von richterlichen Entscheidungen. Hierzu von uns:

- DSGVO und der Auskunftsanspruch

- Kein Auskunftsanspruch für Insolvenzverwalter

- Unterlassungsanspruch bei Verstoß gegen den Datenschutz? 

- Auswirkungen Praxisübernahme auf Auskunftsanspruch

- Empfänger von personenbezogenen Daten müssen namentlich genannt werden

Scoring-Wert

Der Scoring-Wert dient dazu, dass sich Dritte ein Bild über die Kreditwürdigkeit einer Person machen können. Um diesen Wert zu ermitteln, wird aus bestimmten Merkmalen einer Person auf Grundlage mathematisch-statistischer Verfahren für diese die Wahrscheinlichkeit eines künftigen Verhaltens (Rückzahlung eines Kredits)
prognostiziert. Das Verfahren sowie die Merkmale sind nicht bekannt und werden von der Schufa als Geschäftsgeheimnis eingestuft. Die Erstellung von Score-Werten basiert auf der Annahme, dass durch die
Zuordnung einer Person zu einer Gruppe anderer Personen mit bestimmten vergleichbaren Merkmalen, die sich in einer bestimmten Weise verhalten haben, ein ähnliches Verhalten vorausgesagt werden kann. 

Schon gewusst? Anspruch auf Einsicht in Blitzer-Messdaten

Rechtmäßige Datenverarbeitung

Artikel 6 DSGVO regelt, wann eine Datenverarbeitung von personenbezogenen Daten rechtmäßig ist. Personenbezogen sind Daten, wenn sie Rückschlüsse auf eine Person zulassen (Art. 4 Nr. 1 DSGVO). Eine Verarbeitung von ihnen ist rechtmäßig, wenn beispielsweise:

  • Die betroffene Person in die Verarbeitung eingewilligt hat,
  • Die Verarbeitung Teil eines Vertrages ist ,
  • Die Verarbeitung durch eine rechtliche Verpflichtung diktiert ist, 
  • Die Verarbeitung für den Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person zu schützen,
  • Die Verarbeitung dafür erforderlich ist, eine Aufgabe, die im öffentlichen Interesse liegt, zu erfüllen,
  • Die Verarbeitung zur Wahrung der Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht der Schutz der personenbezogenen Daten im Einzelfall überwiegt.

Darüber hinaus existieren in der DSGVO noch speziellere Bestimmungen. Um eine solche geht es auch im vorliegenden Fall.

Schon gewusst? Keine anlasslose Videoüberwachung im Stadion!

Automatisierte Entscheidungen

Artikel 22 DSGVO regelt, dass bestimmte automatisierte Entscheidungen grundsätzlich verboten sind:

Artikel 22 DSGVO Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

(2) [...]

Die Vorschrift erfordert danach drei Voraussetzungen, eine ausschließliche (1) automatisierte Verarbeitung (2), die rechtliche oder rechtsgleiche Wirkung entfaltet (3) und 

Die Frage des Landgerichts Wiesbaden wies auf die Vorschrift hin und möchte vom Europäischen Gerichtshof geklärt wissen, ob die Scoring-Werte der Schufa gegen Artikel 22 DSGVO verstoßen.

Die Vorschrift postuliert auch einige Ausnahmen - jedoch nur für einige wenige Fälle. Etwa wenn die automatisierte Entscheidung für die Erfüllung eines Vertrages, wegen Rechtsvorschriften notwendig ist oder mit der ausdrücklichen Einwilligung der betroffenen Person erfolgt.

Schon gewusst? Was ist ein Hinweisgebersystem?

Generalanwalt: Verständnis für beide Seiten

Der Generalanwalt drückte in seinem Schlussantrag zunächst Verständnis für alle Seiten aus. Unternehmen hätte ein Interesse daran, Informationen über die Kreditwürdigkeit von ihren Kund*innen zu erhalten. Die betroffenen Personen hätten demgegenüber das Interesse, zu erfahren, wie die Daten gespeichert und verwertet werden. 

Schon gewusst? Verletzung des allgemeinen Persönlichkeitsrechts durch geschlechtsbezogene Anrede

Generalanwalt: Automatisierte Verarbeitung und rechtsgleiche Wirkung

Die Voraussetzungen der automatisierten Verarbeitung (Profiling) und einer rechtsgleichen Wirkung bejahte der Generalanwalt knapp. Eine rechtsgleiche Wirkung liege vor, weil die Kreditwürdigkeit erhebliche Wichtigkeit aufweise.

Schon gewusst? Nachbarschaftsstreit: Keine Fotos bitte

Generalanwalt: "[Entscheidung beruht] ausschließlich auf einer automatisierten Verarbeitung“?

Bei dieser Voraussetzung brachte Priit Pikamäe einen erhöhten Begründungsaufwand auf. Zwar lägen keine Anhaltspunkte vor, die darauf hinwiesen, dass Personen auf die Entscheidung zugreifen. Problematisch sei aber der Begriff der Entscheidung. Denn es stehe nicht fest, was unter Entscheidung zu verstehen sei und ob der Schufa-Score unter den Begriff falle. Der Generalanwalt wies darauf hin, dass die Entscheidung nicht zwingend rechtlich sein müsse. Daher falle die Entscheidung der Schufa grundsätzlich in den Anwendungsbereich von Artikel 22 DSGVO.

Schon gewusst? Buchhaltung und Buchführung für Selbstständige

Generalanwalt: Aber Ausnahmen möglich

Der Generalanwalt wies ferner darauf hin, dass nationale Ausnahmen möglich seien. Ob die bestehenden deutschen Regelungen ausreichten, hielt er nicht für eindeutig. Vielmehr hielt er fest, dass "die nationalen Rechtsvorschriften jedoch die Anforderungen von Art. 6 dieser Verordnung erfüllen [müssen]. Insbesondere müssen sie sich auf eine geeignete Rechtsgrundlage stützen, was zu prüfen Sache des vorlegenden Gerichts [also das Landgericht Wiesbaden] ist."

Schon gewusst? Datenschutzrecht 2023: Dürfen Falschparker fotografiert werden?

Fazit

Die Entscheidung des Europäischen Gerichtshof könnte dem deutschen Gesetzgeber den Ball zuspielen - dieser müsste entscheiden, ob er das Schufa-Scoring weiterhin will. Auch müsste der Gesetzgeber entscheiden, welche Einschräkungen er zulassen will. In jedem Falle dürften Betroffene, also faktisch jeder Deutsche, einen Auskunftsanspruch zukommen, sollte der Europäische Gerichtshof dem Generalanwalt folgen. Die Schufa müsste "hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes [abgeben] und zu den Gründen [...] die zu einem bestimmten Ergebnis geführt haben." 

Noch Fragen?

Bei weiteren Fragen zum Thema IT- und Datenschutzrecht, stehen wir Ihnen gerne auch persönlich zur Seite. Terminvereinbarungen können Sie während unserer Bürozeiten unter der Telefonnummer 0201-24030 oder per Email unter info@schumacherlaw.com vornehmen.

Ihre Kanzlei Schumacher & Partner
Rechtsanwälte für IT- und Datenschutzrecht in Essen

Sie haben noch Fragen?
Wir sind für Sie da!
Bei weiteren Fragen stehen wir Ihnen gerne auch persönlich zur Seite. Terminvereinbarungen können Sie während unserer Bürozeiten unter der Telefonnummer 0201-24030 oder per Email unter info@schumacherlaw.com vornehmen.
Bürozeiten: Mo - Do: 08:00 – 17:00 Uhr, Fr: 08:00 – 15:00 Uhr
chevron-down linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram