Schon seit letztem Jahr läuft das Verfahren vor dem Europäischen Gerichtshof zum Schufa-Scoring. Wir berichteten darüber. Die damalige Vermutung, dass Schufa-Scoring gegen die Datenschutzgrundverordnung ("DSGVO") verstößt, bestätigte der Europäische Gerichtshofs nun. Die Sache geht allerdings zurück an nationale Gerichte. Diese müssen jetzt prüfen, ob das Bundesdatenschutzgesetz wirksame Ausnahmen begründen kann, was aber unwahrscheinlich ist (Rs. C-634/21).
Die Schufa Holdig AG war nur Beigeladene des dem Landgericht Wiesbaden vorliegenden Sachverhaltes. Dem Kläger wurde wegen wegen einer negativen Schufa Auskunft die Kreditierung verweigert. Daraufhin wandte er sich mit einem Auskunftsverlagen an die Schufa, welche ihm mitteilte, er habe nur einen Scoring Wert von knapp 85%. Im Prozess bekamen die Richter*innen in Wiesbaden Zweifel, ob die Schufa dem Geltungsbereich der DSGVO unterfällt. Dies hätte große Auswirkungen insbesondere wegen des Scoring-Wetes.
Schon gewusst? Nachbarschaftsstreit: Keine Fotos bitte
Der Scoring-Wert dient dazu, dass sich Dritte ein Bild über die Kreditwürdigkeit einer Person machen können. Um diesen Wert zu ermitteln, wird aus bestimmten Merkmalen einer Person auf Grundlage mathematisch-statistischer Verfahren für diese die Wahrscheinlichkeit eines künftigen Verhaltens (Rückzahlung eines Kredits)
prognostiziert. Das Verfahren sowie die Merkmale sind nicht bekannt und werden von der Schufa als Geschäftsgeheimnis eingestuft. Die Erstellung von Score-Werten basiert auf der Annahme, dass durch die
Zuordnung einer Person zu einer Gruppe anderer Personen mit bestimmten vergleichbaren Merkmalen, die sich in einer bestimmten Weise verhalten haben, ein ähnliches Verhalten vorausgesagt werden kann.
Schon gewusst? Anspruch auf Einsicht in Blitzer-Messdaten
Artikel 6 DSGVO regelt, wann eine Datenverarbeitung von personenbezogenen Daten rechtmäßig ist. Personenbezogen sind Daten, wenn sie Rückschlüsse auf eine Person zulassen (Art. 4 Nr. 1 DSGVO). Eine Verarbeitung von ihnen ist rechtmäßig, wenn beispielsweise:
Darüber hinaus existieren in der DSGVO noch speziellere Bestimmungen. Um eine solche geht es auch im vorliegenden Fall.
Schon gewusst? Widerruf als Business-Modell?
Artikel 22 DSGVO regelt, dass bestimmte automatisierte Entscheidungen grundsätzlich verboten sind:
Artikel 22 DSGVO Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
(2) [...]
Die Vorschrift erfordert danach drei Voraussetzungen, eine ausschließliche (1) automatisierte Verarbeitung (2), die rechtliche oder rechtsgleiche Wirkung entfaltet (3) und
Die Frage des Landgerichts Wiesbaden wies auf die Vorschrift hin und möchte vom Europäischen Gerichtshof geklärt wissen, ob die Scoring-Werte der Schufa gegen Artikel 22 DSGVO verstoßen.
Die Vorschrift postuliert auch einige Ausnahmen - jedoch nur für einige wenige Fälle. Etwa wenn die automatisierte Entscheidung für die Erfüllung eines Vertrages, wegen Rechtsvorschriften notwendig ist oder mit der ausdrücklichen Einwilligung der betroffenen Person erfolgt.
Schon gewusst? Stärkung vom Verbraucherrecht: Keine Zahlungspflicht nach Widerruf trotz Vertragserfüllung
Der Generalanwalt war der Ansicht, dass das Scoring derartige automatisierte Entscheidungen im Sinne von Artikel 22 DSGVO darstelle. Zwar bestünden einzelne Auslegungsprobleme und auch Ausnahmen seien möglich, aber grundsätzlich sei der Anwendungsbereich von Artikel 22 DSGVO eröffnet.
Ausnahmen seien aber möglich, wenn "die nationalen Rechtsvorschriften jedoch die Anforderungen von Art. 6 dieser Verordnung erfülle[t]. Insbesondere müssen sie sich auf eine geeignete Rechtsgrundlage stützen, was zu prüfen Sache des vorlegenden Gerichts [also das Landgericht Wiesbaden] ist."
Schon gewusst? Nennung von Urheberschaft ist vertraglich regelbar
Die erste Kammer schließt sich den Ausführungen des estnischen Generalanwaltes, Priit Pikamäe, an. Schufa-Scoring kann grundsätzlich gegen die DSGVO, genauer gegen Artikel 22 DSGVO verstoßen. Die Frage ist jedoch nicht abschließend beurteilt.
Schon gewusst? Empfänger von personenbezogenen Daten müssen namentlich genannt werden
Die Sache geht nur zurück zum vorlegenden Gericht, dem Landgericht Wiesbaden. Dieses muss prüfen, ob § 31 des Bundesdatenschutzgesetzes eine rechtmäßige Ausnahme zum Verbot der automatisierten Datenverarbeitung darstellt. Daran zweifelte es aber schon in der Vorlagefrage.
Schon gewusst? Hoher Schadensersatz wegen Verletzung des Auskunftsanspruchs
Für Verbraucherinnen stellt die Entscheidungen einen großen Etappensieg dar. Es ist nicht auszuschließen, dass die nationalen Gerichte (erst das Landgericht Wiesbaden und dann höhere Instanzen) zu dem Ergebnis kommten dass das Bundesdatenschutzgesetz keine wirksame Ausnahme darstellt oder sogar mit dem Unionsrecht unvereinbar ist, was in einer erneuten Vorlage münden würde. Der Rechtsstreit ist also noch nicht völlig abgeschlossen. Der Weg scheint jedoch vorgegeben, da das Landgericht schon Zweifel daran hatte, dass § 31 Bundesdatenschutzgesetz die Anforderungen der DSGVO zu Ausnahmen erfüllt.
Schon gewusst? Dürfen Falschparker fotografiert werden?
Bei weiteren Fragen zum Thema IT- und Datenschutzrecht, stehen wir Ihnen gerne auch persönlich zur Seite. Terminvereinbarungen können Sie während unserer Bürozeiten unter der Telefonnummer 0201-24030 oder per Email unter info@schumacherlaw.com vornehmen.
Ihre Kanzlei Schumacher & Partner
Rechtsanwälte für IT- und Datenschutzrecht in Essen