IT/Datenschutz
EuGH verkündet zwei richtungsweisende Urteile zum SCHUFA Scoring – EuGH schafft klare Voraussetzungen für Scoring
Der EuGH hat am 07.12.2023 in der Rechtssache C-634/21 ("SCHUFA Holding") und den verbundenen Rechtssachen C-26/22 und C-64/22 ("SCHUFA Holding") zwei richtungsweisende Urteile verkündet und damit Stellung zum Geschäftsmodell der SCHUFA bezogen. Die auf Grundlage der europäischen Datenschutz-Grundverordnung (DS-GVO) entschiedenen Urteile lauten auf den Punkt gebracht:
- Kreditscoring ist nur unter engen Voraussetzungen zulässig
- Die Restschuldbefreiung ist nach sechs Monaten zu löschen
1. Entscheidung (C-634/21) – Zulässigkeit automatisiertes Kreditscoring
Der EuGH hatte zu entscheiden, ob die Bonitätseinstufungen der SCHUFA als grundsätzlich unzulässige automatisierte Einzelfallentscheidungen nach Art. 22 DS-GVO zu bewerten sind.
Das Verwaltungsgericht (VG) Wiesbaden hatte dem EuGH den Fall einer Klägerin zur Klärung vorgelegt, die keinen Kredit erhielt, weil ihre Zahlungsfähigkeit durch die SCHUFA negativ bewertet wurde. In dem Verfahren hatte die SCHUFA vorgetragen, sie würde ihre Kunden zwar durch die Bereitstellung von Daten bei deren Entscheidungsfindung unterstützen, träfe jedoch selbst keine Entscheidung.
Der EuGH erklärte das sogenannte Kreditscoring nur unter bestimmten Voraussetzungen für zulässig.
Mit nur wenigen Ausnahmen, verbietet Art. 22 DS-GVO die Verarbeitung personenbezogener Daten für vollautomatische Entscheidungen, die eine “erhebliche Beeinträchtigung” für betroffene Personen nach sich ziehen. Zweck der Vorschrift ist es, Entscheidungen mit einer gewissen Relevanz für betroffene Personen, nicht allein von einem Algorithmus abhängig zu machen.
Der EuGH sieht einen klaren Verstoß gegen die DS-GVO gegeben, sofern das Kreditscoring bei der Entscheidungsfindung über den Vertragsschluss, eine maßgebliche Rolle einnimmt.
Das VG Wiesbaden muss nun entscheiden, ob § 31 Bundesdatenschutzgesetz (BDSG) automatisierte Bonitätseinschätzung ausnahmsweise ermöglicht.
Das Urteil stellt das Geschäftsmodell der SCHUFA und anderen Auskunfteien auf den Prüfstand, denn nun steht fest: Eine vollautomatisierte Beurteilung der „vermeintlichen“ Kreditwürdigkeit von Personen, durch Algorithmen ist vom Schutzbereich des Art. 22 DS-GVO umfasst.
2. Entscheidung - C-26/22 und C-64/22 – Datenlöschung regelmäßig nach 6 Monaten
In dem zweiten Vorabentscheidungsverfahren war die Dauer der Speicherung von Informationen zur Restschuldbefreiung nach einer Privatinsolvenz zu klären.
Während Insolvenzgerichte öffentliche Informationen bereits nach sechs Monaten löschen, speicherte die SCHUFA die Daten bislang bis zu drei Jahren. Ein Betroffener wollte die Eintragung mit Hilfe des Hessischen Datenschutzbeauftragten löschen lassen. Nachdem sich dieser unkooperativ zeigte, reichte der Betroffene Klage ein. Das VG bat den EuGH im Januar 2022 um Auslegung der DS-GVO sowie der EU-Grundrechte-Charta (Beschl. v. 31.01.2022, Az. 6 K 1052/21).
Der EuGH entschied, dass die SCHUFA Daten über eine Restschuldbefreiung nicht drei Jahre speichern darf, weil sie im öffentlichen Insolvenzregister bereits nach sechs Monaten gelöscht werden müssen.
Die erteilte Restschuldbefreiung solle es "dem Begünstigten ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen, und hat daher für diese Person im Allgemeinen existenzielle Bedeutung", hieß es in der Begründung des Gerichts.
Im vorauseilenden Gehorsam auf das erwartete EuGH-Urteil teilte die Schufa bereits im März 2023 mit, Daten zu Privatinsolvenzen nur noch sechs Monate lang zu speichern.
Fazit:
Die Urteile schaffen Rechtsklarheit und beschränkt das Geschäft mit Bonitätsprognosen. Es bleibt aber abzuwarten, welche Konsequenzen dies für die Kreditwirtschaft hat. Es ist möglich, dass die Auskunfteien in Zukunft die Kreditwürdigkeit ihrer Kunden deutlich intensiver prüfen werden oder sich Kunden für den Erhalt einer Bonität gezwungen sehen, in ein Scoring einzuwilligen.