Die Datenverarbeitung der Schutzgemeinschaft für allgemeine Kreditsicherung (SCHUFA) steht derzeit in mehreren Fällen auf dem Prüfstand vor dem Europäischen Gerichtshof (EuGH). Hintergrund des EuGH-Rechtsstreits sind drei Fälle aus Deutschland.
Darunter zwei verbundene Fälle (Rechtssachen C-26/22 und C-64/22) mit dem Schwerpunkt der Datenerhebung und Speicherdauer. Im dritten Fall äußerte sich der EuGH-Generalanwalt zum Bonitätscoring und „Profiling“ der SCHUFA.
Die Generalanwälte des EuGH verfassen vor der Entscheidung des EuGH ein Gutachten mit ihrer Einschätzung der Rechtslage. Dabei handelt es sich um eine unverbindliche Empfehlung an das Gericht. Am 16. März 2023 wurden die so genannten Schlussanträge des Generalanwalts Priit Pikamäe veröffentlicht, die sich vertieft mit der datenschutzrechtlichen Zulässigkeit des SCHUFA-Scorings und dem Auskunftsrecht unter der DSGVO auseinandersetzen.
Auskunftsersuchen eines Klägers muss verständlich beantwortet werden
Hintergrund des Rechtsstreits um Score-Werte der SCHUFA ist ein Auskunftsersuchen einer Klägerin, der durch eine Bank aufgrund der durch die SCHUFA vorgenommenen Bonitätsbewertung ein Kredit verweigert wurde. Die SCHUFA wurde gegründet, damit Unternehmen Informationen zu dem Zahlungsverhalten ihrer Kunden abfragen und mitteilen können. Die Daten werden durch mathematisch-statistische Verfahren ausgewertet, um eine Risikoeinschätzung für Kreditgeschäfte, da sog. Bonitäts-Scoring, zu ermöglichen. Das Scoring soll eine Aussage über die Wahrscheinlichkeit des künftigen Verhaltens der Person ermöglichen, z. B. hinsichtlich der Rückbezahlung eines Kredits.
Die Klägerin wollte sich ihr Auskunftsrecht nach Art. 15 DSGVO zu Nutze machen und nachvollziehen, wie ihre Daten durch die SCHUFA verarbeitet wurden. Die SCHUFA teilte in ihrer Auskunft jedoch nur den Score-Wert und allgemeine Hinweise zur Methode der Berechnung des Score-Wertes mit. Weitere Details der Berechnungsmethode sind laut SCHUFA ein Geschäftsgeheimnis, das nicht beauskunftet werden müsse.
Enge Voraussetzungen für die Zulässigkeit von automatisierten Entscheidungsfindungen
Die DSGVO sieht in Art. 22 eine besondere Regelung für Profiling und automatisierte Entscheidungsfindungen vor. Die Regelung soll Betroffene vor Diskriminierung und ungerechten Auswirkungen von automatisierten Entscheidungsfindungen schützen. Demnach soll die betroffene Person das Recht haben, nicht ohne Eingreifen einer menschlichen Person einer Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Ein Beispiel für eine mögliche erhebliche Beeinträchtigung ist direkt in den Erwägungsgründen der DSGVO vorgesehen, nämlich die Ablehnung eines Online-Kreditantrags.
SCHUFA-Score-Wert kann automatisierte Entscheidungsfindung sein, auch wenn ein drittes Unternehmen die finale Entscheidung trifft
Der SCHUFA-Score-Wert einer Person wird anhand von der SCHUFA gespeicherten Daten vollständig automatisiert ermittelt. Ob allerdings tatsächlich die Voraussetzungen des Art. 22 DSGVO vorliegen, also eine automatisierte Entscheidungsfindung vorliegt, war bisher umstritten, da letztlich beispielsweise etwa die Bank bzw. ein Vertreter der Bank die Entscheidung über die Kreditvergabe trifft, und nicht direkt die SCHUFA. Die SCHUFA ist der Ansicht, sie übermittle nur an dritte Unternehmen den automatisiert errechneten Score-Wert und treffe keine Entscheidung.
Der EuGH-Generalanwalt empfiehlt aber, auf den jeweiligen Einzelfall abzustellen. Es kommt darauf an, welche Entscheidung im Entscheidungsfindungsprozess wirklich relevant ist. Die Einbindung der SCHUFA als Dienstleistungserbringer kann dazu führen, dass bestimmte Befugnisse der Bank extern übertragen werden. Wenn das Scoring-Ergebnis für die Entscheidungsfindung übernommen wird, gar ausschlaggebend ist, scheint es lebensfremd, dieses Verfahren gesondert zu betrachten. Bestimmt das Ergebnis der Auskunftei faktisch die endgültige Entscheidung der Bank und besteht kein eigener Handlungsspielraum bei der Anwendung des Score-Werts auf den Kreditantrag, ist das automatisierte Verfahren Teil der von der DSGVO geregelten „automatisierten Entscheidungsfindung“.
Wichtige Auswirkungen der kritischen Einschätzung des Generalanwalts zum Bonitäts-Scoring auf den Auskunftsanspruch
Die Beurteilung des Generalanwalts wirkt sich auch darauf aus, welche Rechte die betroffenen Personen unmittelbar gegenüber der SCHUFA geltend machen können, um mehr über die automatisierte Datenverarbeitung zu erfahren. Könnte sich die SCHUFA darauf berufen, es handele sich bei ihrem Score-Wert nicht um eine automatisierte Entscheidungsfindung, so müsste bei einem Auskunftsersuchen mangels Anwendbarkeit des besonderen Auskunftstatbestands in Art. 15 Abs. 1 lit. h DSGVO keine aussagekräftigen Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer der Verarbeitung für die betroffene Person erteilt werden. Hier würde sich aber eine Schutzlücke auftun, denn die Bank, die die finale Entscheidung trifft, kann mangels Einsicht in das mathematisch-statistische Verfahren der SCHUFA diese Auskunft ebenfalls nicht erteilen.
Betroffene sollen nach Ansicht des Generalanwalts daher die Möglichkeit haben, sowohl ihr Auskunftsrecht zur Überprüfung der Daten als auch Berichtigungs- und Löschansprüche direkt gegenüber der SCHUFA geltend zu machen.
Umfang des Auskunftsrechts bei Profiling erstreckt sich auf Informationen über die involvierte Logik
Der Generalanwalt äußerte sich zur Reichweite des Auskunftsrechts im Zusammenhang mit Profiling dahingehend, dass Teil einer aussagekräftigen Information über die involvierte Logik grundsätzlich auch die Berechnungsmethode ist, die zur Ermittlung des Score-Werts verwendet wird. Dies gelte aber nur, sofern keine schutzwürdigen Interessen, etwa Geschäftsgeheimnisse, beeinträchtigt werden. Nach Ansicht des Generalanwalts folgt daraus nicht das Recht auf Verweigerung jeglicher Information zum verwendeten Algorithmus. Aufgrund der Komplexität von Algorithmen würde eine Offenlegung einer Formel voraussichtlich auch keinen Betrag zu einer verständlichen Information leisten. Dennoch sei die SCHUFA verpflichtet, eine verständliche, leicht zugängliche Erläuterung, zu erteilen.
Daher soll eine Pflicht bestehen, hinreichend detaillierte Erläuterungen für die Berechnung des Score-Wertes bereitzustellen. Davon seien auch die Gründe umfasst, die zu einem bestimmten Ergebnis geführt haben. Die vom Auskunftsrecht umfassten Informationen sollen auch die berücksichtigten Faktoren und deren Gewichtung auf aggregierter Ebene beinhalten.
Stärkung der Betroffenenrechte, wenn EuGH der Ansicht des Generalanwalts folgt
Nur mit ausreichend detaillierten Informationen kann die betroffene Person eine automatisierte Entscheidung nachvollziehen und sich dagegen wehren. Sollte der EuGH der Ansicht des Generalanwalts folgen, bedeutet dies eine Stärkung der Betroffenenrechte gegenüber Auskunfteien wie der SCHUFA. Diese können sich nicht wie bisher auf ihr Geschäftsgeheimnisse berufen und Auskünfte weitestgehend verweigern.
Kritische Auseinandersetzung des EuGH-Generalanwalts mit deutscher Scoring-Norm aus dem BDSG
In einer zweiten Vorlagefrage befasst sich der EuGH-Generalanwalt sodann mit § 31 Bundesdatenschutzgesetz (BDSG), der ebenfalls Scoring und Bonitätsauskünfte adressiert. Der deutsche Gesetzgeber hat § 31 BDSG erlassen, um eine Öffnungsklausel für mitgliedstaatliche eigenständige Regelungen im Bereich des Scorings aus Art. 22 Abs. 2 lit. b DSGVO zu nutzen.
Dabei stellt der Generalanwalt zunächst fest, dass die deutsche Norm einen viel weiteren sachlichen Anwendungsbereich hat als sein Pendant in der DSGVO. Dies ergebe sich daraus, dass die DSGVO-Norm ausschließlich Entscheidungen regelt, die aufgrund automatisierter Verarbeitungen getroffen wurden, während die deutsche Norm auch nicht automatisierte Entscheidungen umfasst. Die deutsche Norm regelt ferner nur die Verwendung von Score-Werten, nicht aber deren Erstellung.
Deutsche Norm zum Scoring nicht mit der DSGVO vereinbar
Der EuGH-Generalanwalt kommt daher zu dem Schluss, dass die deutsche Norm nicht unter die Öffnungsklausel der aus Art. 22 Abs. 2 DSGVO fällt. Er prüft sodann, ob die deutsche Norm aufgrund anderer Öffnungsklauseln in der DSGVO erlassen wurde. Die Mitgliedstaaten dürfen nur im Rahmen von Öffnungsklauseln eigenständige Regelungen treffen; sollten sie darüber hinausgehen, sind die nationalen Vorschriften aufgrund des Vorrangs des Europarechts europarechtswidrig und unanwendbar.
Der Generalanwalt findet trotz intensiver Prüfung keine passende Öffnungsklausel, die die in § 31 BDSG niedergelegten Regelungen erlauben würde. Vor dem Hintergrund, dass die deutsche Norm den wirtschaftlichen Interessen des Finanzsektors Vorrang vor dem Recht auf Schutz personenbezogener Daten einräumt, ohne besondere Umstände des jeweiligen Einzelfalls zu berücksichtigen, ist die deutsche Vorschrift nach Ansicht des EuGH-Generalanwalts keine geeignete Rechtsgrundlage für die Datenverarbeitung der SCHUFA.
Urteil des EuGH im Sommer wird mehr Klarheit bringen
Ob die SCHUFA und andere betroffene Auskunfteien künftig ihre Speicherfristen und den Umgang mit Auskunftsersuchen anpassen müssen, wird sich voraussichtlich im Sommer zeigen. Auch für den deutschen Gesetzgeber könnte es dann Klarheit bezüglich der BDSG-Norm zum Scoring geben. In der Vergangenheit hat sich gezeigt, dass der EuGH dem Vorschlag der Generalanwälte in den überwiegenden Fällen folgt.