EuGH SCHUFA Scoring
Der Europäische Gerichtshof (EuGH) hat am 07.12.2023 in Luxemburg entschieden, dass die Scoring-Praxis der Schufa gegen Bestimmungen der Datenschutz-Grundverordnung (DSGVO) verstößt, insbesondere wenn die Zahlungsprognose als maßgebliche Entscheidungsgrundlage für Vertragsverhältnisse dient.
Egal, ob es um den Abschluss eines Handyvertrags, die Beantragung eines Kredits oder den Wechsel des Stromanbieters geht – vor Vertragsabschluss ist die Überwindung der Bonitätsprüfung unumgänglich. Die Wirtschaftsauskunftei aus Wiesbaden sammelt umfassende Daten und erstellt anhand dieser Informationen einen individuellen Score. Die von der Schufa prognostizierten Zahlungen spielen für Kunden eine zentrale Rolle und beeinflussen teilweise maßgeblich ihre Entscheidungen bei Vertragsabschlüssen.
Der Europäische Gerichtshof stuft das „Scoring“ grundsätzlich als eine „automatisierte Entscheidung im Einzelfall“ ein, die unter bestimmten Bedingungen, insbesondere wenn ihr von Banken eine maßgebliche Rolle bei der Kreditvergabe zugeschrieben wird, als prinzipiell untersagt betrachtet wird. Diese Methode wird somit nicht vollständig verboten, jedoch durch klare Vorgaben des Datenschutzrechts in ihre Schranken verwiesen.
Die Implikationen des EuGH-Urteils setzen nicht nur das Geschäftsmodell von Wirtschaftsauskunfteien unter Druck, sondern könnten auch Unternehmen betreffen, die spezifische Entscheidungen auf Basis von Score-Werten der Schufa oder ähnlicher Bonitätsbewertungen treffen. Die potenziellen Auswirkungen des Urteils könnten für diese Unternehmen Herausforderungen mit sich bringen, da sie nun möglicherweise ihre bestehenden Praktiken im Lichte der rechtlichen Entwicklungen überdenken und anpassen müssen.
Hintergrund zum SCHUFA Scoring Urteil des EuGH
Im Rahmen des Beschlusses vom 1. Oktober 2021 hatte das Verwaltungsgericht Wiesbaden dem EuGH zwei Fragen zur Vorabentscheidung eingereicht. Diese bestanden inhaltlich in der datenschutzrechtlichen Zulässigkeit des Scoring-Verfahrens und die darauf basierenden Entscheidung von Unternehmen bezüglich Vertragsabschlüsse mit Privatpersonen.
Es ging in der Vorabentscheidung anfänglich darum, dass die Klägerin ein Kredit bei einem Kreditinstitut beantragte, welcher ihr aufgrund ihres Schufa-Scoring verwehrt wurde.
Infolgedessen verlangte die Klägerin bei der Wirtschaftsauskunftei die Löschung und Auskunft ihrer persönlichen Daten. Allerdings übermittelte die Schufa lediglich ihren persönlich Score-Wert sowie die allgemeinen Berechnungsvorgänge. Die Schufa berief sich jedoch auf ihr Geschäftsgeheimnis bezüglich der Preisgabe persönlicher Daten und der konkreten Berechnung, die den Score-Wert bestimmten. Nachdem eine Beschwerde gegen diese Entscheidung beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) erfolglos blieb, reichte die Klägerin Klage beim Verwaltungsgericht Wiesbaden ein. Das Verwaltungsgericht Wiesbaden wandte sich daraufhin an den EuGH. Die zentrale Frage, die das Verwaltungsgericht klären wollte, bezieht sich darauf, ob die automatisierte Ermittlung eines Wahrscheinlichkeitswerts bezüglich der Fähigkeit einer Person, zukünftigen Zahlungsverpflichtungen nachzukommen (Score-Wert), bereits als automatisierte Entscheidung im Sinne von Artikel 22 Abs. 1 DS-GVO anzusehen ist. Dies gilt insbesondere dann, wenn dieser Wert an einen Dritten, in diesem Fall das Kreditinstitut, übermittelt wird und dieser Dritte den Wert als maßgebliche Grundlage für seine Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person heranzieht.
EuGH entscheidet: Schufa-Score darf nicht maßgeblich für Kreditwürdigkeit sein
Im ersten Verfahren zur Schlüsselfrage von Auskunfteien wie der Schufa hat der EuGH eine Entscheidung getroffen (Rs. C 634/21). In Übereinstimmung mit dem Verwaltungsgericht Wiesbaden und dem Generalanwalt des EuGH vertritt der EuGH die Ansicht, dass bereits der Score-Wert an sich als potenziell verbotene automatisierte Entscheidung nach Art. 22 Abs. 1 der DSGVO betrachtet werden kann. Dies gilt zumindest dann, wenn Kunden der SCHUFA, wie zum Beispiel Banken, ihm eine wesentliche Rolle im Rahmen der Kreditvergabe zuschreiben. Das Verwaltungsgericht Wiesbaden hatte bereits im spezifischen Fall festgestellt, dass die Kreditgewährung tatsächlich maßgeblich vom Schufa-Score abhing.
In Bezug auf Art. 22 der DSGVO hat Deutschland die Möglichkeit, im Bundesdatenschutzgesetz (BDSG) eine Ausnahme von dem darin festgelegten Verbot zu schaffen. Die Richter in Luxemburg überließen es dem deutschen Gericht, zu entscheiden, ob der bestehende § 31 BDSG mit den Vorschriften der DSGVO im Einklang steht. Dabei stellten sie strenge Vorgaben zum Schutz der betroffenen Personen auf, legten jedoch fest, dass sie „erhebliche Bedenken“ hinsichtlich der Vereinbarkeit haben. Dies würde im vorliegenden Fall bedeuten, dass die SCHUFA „nicht nur ohne Rechtsgrundlage handeln, sondern gegen das in Art. 22 Abs. 1 DSGVO festgelegte Verbot verstoßen würde.“
Das durch den Bundesgerichtshof (BGH, Urteil vom 28.01.2014, Az. VI ZR 156/13) geschützte Geschäftsgeheimnis der Schufa bezüglich der Score-Wert-Berechnung wurde in dieser Entscheidung geschwächt. Der EuGH hebt hervor, dass die Schufa im vorliegenden Fall dem Betroffenen auch die speziellen Auskünfte gemäß Art. 15 Abs. 1 lit. h der DSGVO erteilen muss. Diese beinhalten insbesondere „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“.
Was bedeutet maßgeblich?
Im Urteil des EuGH wurde Merkmal „maßgeblich“ zwar nicht näher definiert, aber auch nicht der dargelegten Definition des Verwaltungsgericht Wiesbaden widersprochen. Laut dem Verwaltungsgericht ist die Situation gemeint, in welcher ein Verbraucherdarlehen bei einem negativen Scoring grundsätzlich abgelehnt wird, wenngleich eine Investition auf Seite der Bank an sich lohnenswert wäre. Maßgeblichkeit liegt demnach vor, wenn das Unternehmen, mit dem die Person ein Vertrag abschließen möchte, dem Schufa-Scoring eine übergeordnete und ausschlaggebende Bedeutung beimisst, an der die Person nichts ändern kann. Dieser Umstand muss sich im Zuge des EuGH-Urteils jedoch ändern. In dieser Angelegenheit äußern lediglich der Generalanwalt und das Verwaltungsgericht Bedenken, während der EuGH selbst keine eindeutige Position zu dieser Frage bezieht. Der EuGH verweist lediglich auf die Bedenken des Verwaltungsgerichts, ohne selbst ausdrücklich Stellung zu beziehen.
Mögliche Folgen für Unternehmen durch das SCHUFA Scoring Urteil des EuGH
Die EuGH-Entscheidung zu Art. 22 Abs. 1 der DS-GVO hat besonders große Relevanz für den Finanzsektor, wie bereits am Beispiel der Verweigerung eines Kredits durch eine Bank deutlich wird. Obwohl aufsichtsrechtliche Vorschriften (siehe insbesondere § 18 und § 18a KWG) sowie zivilrechtliche Bestimmungen (vgl. §§ 505a ff. BGB) Anforderungen enthalten, die eine alleinige Kreditvergabe auf Basis eines von Dritten bezogenen Score-Werts in der Regel ausschließen, gilt dies nicht für die Ablehnung eines Kreditantrags. Daher stellt sich die Frage, ob Finanzinstitute mit Bußgeldern aufgrund von DS-GVO-Verstößen oder sogar mit zivilrechtlichen Klagen wegen angeblich unzulässiger Kreditablehnungen rechnen müssen, wenn sie ihre Entscheidung maßgeblich auf einen negativen Score-Wert einer Auskunftei stützen. Ähnliche Probleme könnten sich beispielsweise bei der Ablehnung von Versicherungsverträgen ergeben.
Um datenschutzkonform zu handeln und sich abzusichern, ist es ratsam, dass Unternehmen überprüfen, auf welcher Grundlage sie Entscheidungen über Vertragsabschlüsse mit natürlichen Personen treffen und welche Rolle der Score-Wert der SCHUFA dabei spielt. Es ist nicht auszuschließen, dass die SCHUFA erneut auf Unternehmen zukommt und Richtlinien für die Verwendung des Score-Werts festlegt oder bestimmte Erklärungen von ihnen verlangt, wie sie dies bereits in der Vergangenheit im Vorgriff auf das aktuelle EuGH-Urteil getan hat. Unser Team steht Ihnen gerne zur Verfügung, um Unternehmen bei der rechtlichen Analyse von Reaktionsmöglichkeiten zu beraten.
