Das Scoring von Schufa & Co. ist eine nach der DSGVO grundsätzlich verbotene Praxis – zumindest, sofern Unternehmen abhängig vom Score über ihre Kredit- bzw. Vertragsvergabe entscheiden. Das hat der EuGH entschieden. Das VG Wiesbaden könnte das Scoring in dieser Form damit kippen. Auch das Geschäftsgeheimnis der Schufa wurde geschwächt. Schließlich könnte es der Schufa bald generell verboten werden, Daten z.B. über Privatinsolvenzen aus öffentlichen Registern zu speichern. Rechtsanwalt Christian Solmecke erläutert die Urteilsgründe und die Konsequenzen der Entscheidungen:
Auskunfteien machen Verbrauchern seit Jahrzehnten das Leben schwer. Ein – oftmals unberechtigter – negativer Eintrag und der Bonitätsscore der Schufa stürzt in den Keller. Damit ist der gewünschte Handy- oder Kreditvertrag ganz automatisch passé. Dieses System hat der Europäische Gerichtshof (EuGH) heute, am 7. Dezember 2023, beträchtlich ins Wanken gebracht. Doch was genau hat der EuGH entschieden? Und was folgt konkret aus den Entscheidungen?
„Scoring“ ist eine grundsätzlich verbotene „automatisierte Entscheidung im Einzelfall“
Der EuGH entschied im ersten Verfahren über das Herzstück von Schufa & Co.: den Score-Wert (Rs. C 634/21). Wie schon das Verwaltungsgericht (VG) Wiesbaden und der EuGH-Generalanwalt vertrat nun auch der EuGH die Auffassung, bereits der Score-Wert als solcher könne eine grundsätzlich verbotene automatisierte Entscheidung nach Art. 22 Abs. 1 Datenschutzgrundverordnung (DSGVO) sein. Das zumindest, sofern die Kunden der SCHUFA, wie beispielsweise Banken, ihm eine maßgebliche Rolle im Rahmen der Kreditgewährung beimessen würden. Das Verwaltungsgericht Wiesbaden hatte für den konkreten Fall bereits festgestellt, dass die Kreditvergabe tatsächlich maßgeblich vom Schufa-Score abhing. Der Gedanke hinter dem grundsätzlichen Verbot ist, dass eine Maschine nicht über einen Menschen entscheiden soll.
Sie haben eine Pressefrage an uns?
Kontaktieren Sie unsere Presseabteilung. Wir sind für Journalistinnen und Journalisten aller Medien jederzeit schnell erreichbar und äußern uns zeitnah, fundiert und verständlich.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Allerdings hat Deutschland im Rahmen des Art. 22 DSGVO die Möglichkeit, im Bundesdatenschutzgesetz (BDSG) eine Ausnahme von diesem Verbot zu schaffen. Die Luxemburger Richter überließen es dabei zwar dem deutschen Gericht, zu entscheiden, ob der bestehende § 31 BDSG im Einklang mit der DSGVO steht. Sie stellten für die Anforderungen an eine deutsche Norm aber sehr viele strenge Vorgaben zum Schutz betroffener Personen auf. Zudem schrieben sie im Urteil, sie selbst hätten „erhebliche Bedenken“ an der Vereinbarkeit, was im vorliegenden Fall bedeuten würde: Die SCHUFA würde „nicht nur ohne Rechtsgrundlage handeln, sondern verstieße (…) gegen das in Art. 22 Abs. 1 DSGVO aufgestellte Verbot“.
RA Solmecke: „Nach Recherchen von NDR und SZ entscheidet der vollkommen automatisiert erstellte Score z.B. bei Energieversorgern, Mobilfunkanbietern, Verkehrsbetrieben, Zahlungsdienstleistern oder Versandhändlern tatsächlich häufig darüber, ob bzw. was für Verträge sie Neukunden anbieten. Auch wenn der Ball jetzt beim VG Wiesbaden liegt, gehe ich davon aus: Für diese Fälle dürfte das Scoring nach aktueller Rechtslage bald nicht mehr zulässig sein. Denn das VG Wiesbaden hatte wie nun auch der EuGH bereits erhebliche ‚Zweifel´ an der Vereinbarkeit mit der DSGVO geäußert.
Das würde vorerst bedeuten: Entweder Verbraucher stimmen für diese Fälle der Berechnung und Übermittlung eines Score-Wertes über sie zu diesen Zwecken explizit und freiwillig zu. Oder die Unternehmen ziehen den Score-Wert tatsächlich nicht mehr maßgeblich heran, um über den Abschluss von Verträgen zu entscheiden.
Die Schufa hat bereits im Vorfeld versucht, sich auf die erwartete EuGH-Rechtsprechung einzustellen. Sie haben begonnen, sich Bestätigungen von Unternehmen einzufordern, dass der Score dort keine ‚maßgebliche Rolle´ für einen möglichen Vertragsschluss spiele. Doch eine solche Erklärung wird vor einem deutschen Gericht nur halten, wenn dies auch mit der Praxis übereinstimmt. Zudem unterzeichneten viele Unternehmen diese Erklärung nicht. Daher wird die Schufa zugleich alles daransetzen, um den Gesetzgeber möglichst schnell zum Erlass einer DSGVO-konformen Rechtsgrundlage für das Scoring in der bisherigen Form zu bewegen.”
Auskunftsrecht schwächt möglicherweise Geschäftsgeheimnis der Schufa
Auch das vom Bundesgerichtshof (BGH, Urt. v. 28.01.2014, Az. VI ZR 156/13) abgesicherte Geschäftsgeheimnis der Schufa zur Berechnung des Score-Werts ist in dieser Entscheidung geschwächt worden. Der EuGH betont, dass die Schufa im aktuellen Fall dem Betroffenen auch die speziellen Auskünfte nach Art. 15 Abs. 1 lit. h DSGVO geben muss. Diese umfassen insbesondere „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“.
RA Solmecke: „Nach Art. 15 DSGVO hat jeder das Recht, von der Schufa eine Bestätigung darüber zu verlangen, wie genau diese seine Daten verarbeitet. Nach diesem Urteil muss die Schufa nun zumindest in Fällen, in denen Art. 22 DSGVO einschlägig ist, wahrscheinlich eine genauere Auskunft als bisher darüber erteilen, wie sein persönlicher Score-Wert zustande kommt. Das könnte auch genauere Auskünfte dazu erfassen, welche Faktoren in den Score eingeflossen sind und wie diese gewichtet werden. Je nachdem, wie deutsche Gerichte das EuGH-Urteil interpretieren, könnte damit das Geschäftsgeheimnis der Schufa ebenfalls ins Wanken kommen.“
Schufa darf Daten aus öffentlichen Registern möglicherweise bald nicht mehr speichern
In zwei weiteren Verfahren (Rs. C 26/22 und C 64/22) ging es um die Frage, ob die Schufa Daten aus öffentlichen Verzeichnissen speichern darf – und wenn ja, dann wie lange. Im konkreten Fall speicherte die Schufa Informationen über eine Restschuldbefreiung aus einer Privatinsolvenz. Diese hatte sie aus dem öffentlichen Register der Insolvenzbekanntmachungen erlangt. Doch während die öffentlichen Informationen bereits nach sechs Monaten gelöscht werden müssen, speicherte die Schufa sie bis vor Kurzem noch volle drei Jahre. Nachdem der Generalanwalt dies für unzulässig befand und auch der BGH ein Verfahren im Hinblick auf das kommende EuGH-Urteil aussetzte (Beschl. v. 27.03.2023, Az. VI ZR 225/21), ruderte die Schufa im März 2023 zurück: Sie verkürzte initiativ die Speicherfrist auf sechs Monate. Damit ist die Schufa der nun gefällten EuGH-Entscheidung zuvorgekommen: Tatsächlich ist es der Schufa danach nicht erlaubt, die Daten länger zu speichern als im Register.
Doch die Frage, ob die Daten aus den Registern überhaupt während dieser sechs Monate gespeichert werden dürfen, entschied der EuGH nicht, sondern überließ die Antwort dem VG Wiesbaden. Dieses müsse nun die in Rede stehenden Interessen gegeneinander abwägen. Sollte es zu dem Ergebnis kommen, dass die parallele Speicherung in diesem Zeitraum rechtmäßig ist, hätten betroffene Personen immerhin noch ihr Recht auf Widerspruch nach Art. 21 DSGVO sowie ihr Recht auf Löschung nach Art. 17 DSGVO – es sei denn, die SCHUFA könnte sich auf „zwingende schutzwürdige Gründe“ für die weitere Speicherung berufen.
RA Solmecke: „Das VG hatte aber bereits in der Vorlage Zweifel geäußert, dass eine solche parallele Speicherung dieser Daten in privaten Auskunfteien zulässig ist. Daher gehe ich davon aus, dass es entscheiden wird, dass die Schufa Informationen aus öffentlichen Registern, wie die über eine Privatinsolvenz, wohl künftig überhaupt nicht mehr speichern und in den Score-Wert einfließen lassen darf. Für viele klamme Bürger würde das eine Erleichterung bedeuten.“