EuGH Generalanwaltschaft: SCHUFA-Datenspeicherung und DSGVO | Compliance

Die Datenverarbeitung der SCHUFA steht derzeit in mehreren Fällen auf dem Prüfstand vor dem Europäischen Gerichtshof (EuGH). Hintergrund des EuGH-Rechtsstreits sind drei Fälle aus Deutschland, darunter zwei verbundene Fälle (Rechtssachen C-26/22 und C-64/22) mit dem Schwerpunkt der Datenerhebung und Speicherdauer.

Im dritten Fall äußerte sich der EuGH-Generalanwalt zum Bonitätscoring und „Profiling“ der SCHUFA.

Bevor der EuGH ein Urteil fällt, verfassen die Generalanwälte des EuGH ein Gutachten mit ihrer Einschätzung der Rechtslage. Dabei handelt es sich nicht um ein Urteil, sondern um eine unverbindliche Empfehlung an das Gericht. Am 16. März 2023 wurden die so genannten Schlussanträge des Generalanwalts Priit Pikamäe veröffentlicht, die sich vertieft mit Zulässigkeitstatbeständen der DSGVO im Zusammenhang mit dem SCHUFA-Scoring auseinandersetzen.

Die Abkürzung SCHUFA steht für die „Schutzgemeinschaft für allgemeine Kreditsicherung“ und wurde gegründet, damit Unternehmen Informationen zu dem Zahlungsverhalten ihrer Kunden abfragen und mitteilen können. Die Daten werden verarbeitet, um eine Risikoeinschätzung für Kreditgeschäfte, da sog. Bonitätscoring, zu ermöglichen. Die SCHUFA entnimmt hierfür Informationen über Insolvenzverfahren aus behördlich geführten öffentlich zugänglichen Registern.

Nach der Insolvenzordnung sind die Informationen über den Schuldner aus dem öffentlichen Register spätestens sechs Monate nach der Aufhebung oder der Rechtskraft der Einstellung des Insolvenzverfahrens zu löschen. Die SCHUFA hingegen hält die aus dem Register entnommenen Informationen für ihre Kunden insgesamt drei Jahre nach Beendigung des Insolvenzverfahrens vor.

Vertiefte Auseinandersetzung mit den Rechtsgrundlagen und Speicherfristen der DSGVO

Der Generalanwalt musste sich mit verschiedenen Fragen der Rechtmäßigkeit der Datenverarbeitung unter der DSGVO befassen. Zum einen ging es darum, ob und auf Basis welcher Rechtsgrundlage eine private Wirtschaftsauskunftei Daten aus öffentlichen Registern speichern und auf seinen eigenen Kunden zur Verfügung stellen darf. Außerdem äußerte er sich dazu, ob eine private Wirtschaftsauskunftei die Daten länger vorhalten darf als nach der gesetzlichen Speicherfrist für öffentliche Register vorgesehen.

Nutzung von Daten aus öffentlichen Registern auf Grundlage des berechtigten Interesses

Der Generalanwalt sieht es grundsätzlich als zulässig an, dass die SCHUFA Daten für die Beurteilung der Bonität von Personen oder Unternehmen auf der Grundlage des berechtigten Interesses, eine der Rechtsgrundlagen in Art. 6 DSGVO, verarbeitet. Voraussetzung hierfür ist aber, dass die Interessensabwägung zwischen den Interessen der SCHUFA und den Interessen der betroffenen Person zugunsten der SCHUFA ausfällt. Ohnehin ist allein mit dem Vorliegen einer Rechtsgrundlage die Rechtmäßigkeitsprüfung aber nicht abgeschlossen. Es müssen zusätzlich auch die allgemeinen Grundsätze zur Datenverarbeitung unter der DSGVO eingehalten werden. Hierzu gehören unter anderem die Grundsätze der Speicherbegrenzung und der Datenminimierung.

Generalanwalt sieht eine verlängerte Speicherfrist als kritisch an

Der Generalanwalt führt in seinen Schlussanträgen aus, dass der Gesetzgeber mit dem Festsetzen der gesetzlich geregelten Speicherfrist von sechs Monaten bereits eine Interessensabwägung zwischen dem Schutz von Gläubigern und dem Interesse der betroffenen Person an der Wiederaufnahme der Beteiligung am Wirtschaftsleben getroffen habe. Wenn private Unternehmen diese Speicherfrist verlängern und die Informationen länger bereitstellen als im öffentlichen Register vorgesehen und vorhanden, wird das Ziel des Gesetzgebers, dass sich der Begünstigte ohne negative Folgen erneut am Wirtschaftsleben beteiligen können soll, vereitelt.

Verwendung von veralteten Informationen im Bonitäts-Scoring als de facto Strafmaßnahme

Laut Generalanwalt müssen private Wirtschaftsauskunfteien zum Zeitpunkt der von einem Kunden angefragten Risikoanalyse aktualisierte Informationen herangezogen werden, um eine genaue und objektive Beurteilung zu ermöglichen. Werden Informationen herangezogen, die aus dem öffentlichen Register bereits gelöscht sind und nur der privaten Wirtschaftsauskunftei noch vorliegen, kann eine zuverlässige Information über die aktuelle wirtschaftliche Situation der betroffenen Person nicht geliefert werden. Letztlich werden Informationen verwendet, die mehrere Jahre alt sein können und keine zuverlässige Information über die aktuelle wirtschaftliche Situation der betroffenen Person liefern.

Der Generalanwalt bezeichnet die sechsmal längere Speicherfrist von drei Jahren statt der gesetzlich vorgesehenen sechs Monate als eine de facto Strafmaßnahme, die vom Gesetzgeber eindeutig nicht vorgesehen war.

Recht auf Löschung von unrechtmäßig verarbeiteten Daten gegenüber privaten Wirtschaftsauskunfteien

Der EuGH soll außerdem klären, ob eine betroffene Person einen Anspruch darauf hat, aus dem Datenbestand der SCHUFA gelöscht zu werden. Ein Anspruch auf Löschung besteht nach Art. 17 DSGVO dann, wenn die Daten unrechtmäßig verarbeitet wurden. Da der Generalanwalt hinsichtlich der Zulässigkeit der Verarbeitung zu der Einschätzung kommt, dass die Verarbeitung der Daten durch die SCHUFA nicht im Einklang mit der DSGVO war, besteht also ein Recht auf Löschung, es sei denn, andere Tatbestände zur weiteren Speicherung der Daten sind einschlägig. Der Generalanwalt führt außerdem aus, dass, selbst wenn die nationalen Gerichte trotz alledem eine rechtmäßige Verarbeitung annehmen sollten, aus einem Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO der betroffenen Person ein Löschanspruch folge.

Keine Bindungswirkung von datenschutzrechtlich genehmigten Verhaltensregeln gegenüber Dritten

An der Einschätzung des Generalanwalts ändert auch die Tatsache, dass sich die SCHUFA bei der Datenverarbeitung auf so genannte genehmigte Verhaltensregeln stützt, nichts. Der Verband der Wirtschaftsauskunfteien hat Verhaltensregeln zum Umgang mit und der Speicherung von personenbezogenen Daten aufgestellt und von Datenschutz-Aufsichtsbehörden genehmigen lassen. Nach Ansicht des EuGH-Generalanwalts kann daraus aber keine Rechtfertigung oder Rechtsgrundlage für eine mit der DSGVO unvereinbare Praxis abgeleitet werden. Insbesondere dürfen die Verhaltensregeln, bei denen es sich bloß um eine freiwillige Verpflichtung handelt, keine Bindungswirkung gegenüber unbeteiligten Dritten haben.

Neben inhaltlichen Fragestellungen hat sich der EuGH-Generalanwalt auch zur Rechtsnatur eines Bescheids der Datenschutz-Aufsichtsbehörde geäußert.

Auseinandersetzung mit der Rechtsnatur eines Bescheids einer Datenschutz-Aufsichtsbehörde

Eine weitere Frage, mit der sich der Generalanwalt auseinandersetze, ist die der Rechtsnatur eines Bescheids einer Aufsichtsbehörde und inwieweit diese einer gerichtlichen umfassenden Überprüfung unterliegen kann. Die deutsche zuständige Aufsichtsbehörde des Landes Hessen (HBDI) hatte das Vorgehen der SCHUFA für zulässig befunden und daher keine Untersuchungs- oder Abhilfemaßnahmen eingeleitet.

Das der betroffenen Person unter der DSGVO zustehende Recht auf einen wirksamen Rechtsbehelf kann nach Ansicht des Generalanwalts nur zum Tragen kommen, wenn ein zuständiges nationales Gericht befugt und verpflichtet ist, die Entscheidung der Aufsichtsbehörde umfassend gerichtlich zu überprüfen. Die Überprüfung soll sich auf alle relevanten Aspekte erstrecken, darunter das Ermessen der Aufsichtsbehörde im Rahmen der Prüfung der Beschwerde und das Ermessen bei der Wahl der Untersuchungs- und Abhilfemaßnahme durch die Behörde.

Damit hat der Generalanwalt eine andere Ansicht geäußert als die SCHUFA und die Aufsichtsbehörde Hessen (HBDI), die der Meinung waren, es solle zur Wahrung der Unabhängigkeit von Aufsichtsbehörden nur eine beschränkte gerichtliche Kontrolle der Beschlüsse geben.

Spannendes EuGH-Urteil im Sommer erwartet

Ob sich der EuGH in allen Punkten dem Vorschlag des Generalanwalts anschließt, bleibt abzuwarten. In der Vergangenheit hat sich gezeigt, dass der EuGH dem Vorschlag der Generalanwälte in den überwiegenden Fällen folgt. Ein Urteil des EuGH wird in einigen Monaten erwartet und wird Klarheit bringen.

Die SCHUFA selbst hat sich zu den Schlussanträgen nur knapp geäußert. Ob sie – und alle anderen möglicherweise betroffenen privaten Auskunfteien – ihre Datenverarbeitungsprozesse anpassen müssen, bleibt abzuwarten.

Meistgelesene beiträge

Neueste beiträge

32. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

23.04.2024
EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Europäische Kommission veröffentlicht PeP-Liste zur Geldwäscheprävention

27.02.2024
„Pay or Okay“: NOYB geht gegen das neue Bezahlmodell von Meta vor

01.02.2024
Datengesetz der EU ist in Kraft

31.01.2024
Mehrwertsteuersätze, Pauschalbeträge und Co: Compliance-Regeln für Finanzabteilungen im Überblick

25.01.2024
Cyber-Versicherung muss im Einzelfall trotz Sicherheitsmängel zahlen

24.01.2024

2 Kommentare zum Artikel

Um einen Kommentar zu schreiben, melden Sie sich bitte an.

Jetzt anmelden

Vielen Dank für diesen ausführlichen Beitrag. Mir stellt sich gerade die Frage, was mit jenen Eintragungen passiert, die aufgrund eines außergerichtlichen Schuldenbereinigungsplans nach Rückzahlung noch immer 3 Jahre in der Schufa hängen. Wie ich mitbekommen habe, werden von der Schufa bereits die Einträge bzgl. Restschuldbefreiung nach 6 Monaten gelöscht. Alle anderen haben dann das Nachsehen? Das finde ich ein bisschen unfair jenen Gegenüber, die komplett alles zurückbezahlt haben. Und es ist des Weiteren anmaßend von der Schufa, jemanden damit zu "bestrafen". Was bilden sich die Menschen dort überhaupt ein!? Es ist ein privates Unternehmen, welches gegen die Rechte der Menschen (u.a. Würde = Kreditwürdigkeit) verstoßen). Vielleicht sollten wir die Banken ganz abschaffen, dann haben sie keine Grundlage mehr und verdienen auch nichts mehr ;-) Im Voraus vielen Dank für eine kurze Antwort. Freundliche Grüße

Antworten

Schufakritiker

Mon Aug 28 12:19:05 CEST 2023Mon Aug 28 12:19:05 CEST 2023

Um eine Antwort zu schreiben, melden Sie sich bitte an.

Ohne dies vertieft rechtlich geprüft zu haben - und meine Antwort stellt keine Rechtsberatung dar -, dürfte meines Erachtens eine Interessensabwägung hinsichtlich der Speicherdauer hier nicht zwingend anders ausfallen. Für die Interessensabwägung kann der gesetzliche Rahmen von sechs Monaten jedenfalls ein Indikator der zulässigen Speicherfrist von ähnlichen, aber nicht gesetzlich geregelten Fällen sein. Die Bonitätsfirma müsste gute Argumente bringen, um Eintragungen aufgrund eines außergerichtlichen Schuldenbereinigungsplans nach Rückzahlung weiterhin drei Jahre lang zu speichern, insbesondere wenn sich aus den gespeicherten Daten keine zuverlässige Information über die aktuelle wirtschaftliche Situation der betroffenen Person entnehmen lässt. Der EuGH wird sich leider zu diesem Fall nicht äußern.

Anna-Lena Hoffmann

Wed Sep 06 18:54:37 CEST 2023Wed Sep 06 18:54:37 CEST 2023

EuGH-Generalanwalt: SCHUFA-Datenspeicherung verstößt gegen die DSGVO