Der EuGH hat am 7. Dezember 2023 im Rahmen mehrerer Vorabentscheidungsersuche des Verwaltungsgerichts Wiesbaden entschieden, dass die Verwendung von Score-Werten von Auskunfteien (hier die Schufa) gegen die DSGVO verstößt, wenn diese das maßgebliche Kriterium für eine Kreditentscheidung darstellen (C-634/21). Auskunfteien dürfen Daten über die Restschuldbefreiung zudem nicht länger speichern, als es im öffentlichen Insolvenzregister vorgesehen ist (C-26/22 und C-64/22). Mitte März 2023 waren der Entscheidung die Schlussanträge des Generalanwalts des EuGHs vorausgegangen, der sich hinsichtlich der zuvor genannten Schufa-Praktiken ebenfalls kritisch äußerte (wir berichteten).
1. Schufa-Scoring
Durch den sog. Score-Wert erstellt die Schufa in einem automatisierten Verfahren einen Wahrscheinlichkeitswert über die Kreditwürdigkeit eines Kreditnehmers. In diesen Wert fließen Parameter wie z. B. Wohnort, konkrete Adresse, Kreditausfälle oder Zahlungsverhalten aus Dauerschuldverhältnissen wie Miete, Telefonverträgen, Verbraucherkrediten etc. aus der Vergangenheit ein.
Das deutsche Datenschutzrecht sieht gemäß § 31 BDSG vor, dass das Scoring unter bestimmten Bedingungen zulässig ist. Artikel 22 Abs. 1 DSGVO schreibt aber auch vor, dass solche Entscheidungen, die für einen Betroffenen rechtliche Wirkung entfalten, nicht nur aufgrund einer automatisierten Entscheidung gefällt werden dürfen.
Im vorliegenden Fall hatte ein Betroffener, dem ein Kredit verwehrt wurde, bei der Schufa Auskunft verlangt, welche Parameter die Schufa über ihn gespeichert hatte. Die Schufa hatte dem Betroffenen jedoch nur den Score-Wert mitgeteilt, nicht aber die zugrunde liegenden Parameter. Dagegen wandte sich der Betroffene.
Der EuGH entschied nun, dass das Scoring als eine von der DSGVO grundsätzlich verbotene „automatisierte Entscheidung im Einzelfall“ anzusehen ist, sofern die Kunden der Schufa, beispielsweise Banken, diesem eine maßgebliche Rolle im Rahmen der Kreditgewährung beimessen. Ob sich § 31 BDSG als Rechtsgrundlage i. S. d. Art. 22 Abs. 2 lit. b DSGVO eignet und somit das Scoring als Ausnahmeregelung in Deutschland zulässig ist, müssen nun die deutschen Gerichte prüfen. Bis zur endgültigen Klärung bleibt es also erst einmal beim derzeitigen Status quo. Nichtsdestotrotz ist es sehr wahrscheinlich, dass § 31 BDSG, vor dem Hintergrund der aktuellen EuGH-Entscheidung, zumindest in der derzeitigen Fassung, einer Überprüfung durch das europäische Datenschutzrecht nicht standhält und dass Kreditentscheidungsprozesse in Deutschland somit zukünftig nicht ausschließlich auf dem Schufa-Score beruhen dürften.
2. Schufa-Speicherung von Daten zur Restschuldbefreiung über die gesetzliche Frist hinaus
Im zweiten Fall geht es darum, dass ein Betroffener ein erfolgreiches Privatinsolvenzverfahren durchlaufen und eine Restschuldbefreiung erhalten hatte. Dieses wurde – wie gesetzlich vorgesehen – nach sechs Monaten aus dem öffentlichen Register gelöscht. Bei der Schufa hingegen wird diese Information der Restschuldbefreiung drei Jahre lang gespeichert. Auch hier befand der Generalanwalt im März 2023, dass dies rechtswidrig sei.
Der EuGH bestätigt nun die Ansichten des Generalanwalts und entschied, dass es im Widerspruch zur DSGVO stehe, wenn private Auskunfteien Daten über eine Restschuldbefreiung länger speichern als das öffentliche Insolvenzregister. Sinn und Zweck der erteilten Restschuldbefreiung sei es nämlich, dass sie der betroffenen Person ermöglichen solle, sich erneut am Wirtschaftsleben ohne Einschränkungen zu beteiligen. Sie habe daher existenzielle Bedeutung für die betroffene Person, sodass die Rechte und Interessen der betroffenen Person denjenigen der Öffentlichkeit, über diese Informationen zu verfügen, überwiegen.
Aus diesem Grund habe die betroffene Person nach Ablauf der sechsmonatigen Frist das Recht auf Löschung dieser Daten und die Auskunftei sei auch dazu verpflichtet, die Daten unverzüglich zu löschen. Offen ist, und das ist vom vorlegenden Gericht zu prüfen, ob die Schufa zur parallelen Speicherung dieser Daten auch vor Ablauf der sechs Monate überhaupt berechtigt ist. Sollte das Gericht zu diesem Ergebnis gelangen, hätte die betroffene Person dennoch das Recht, Widerspruch gegen die Verarbeitung einzulegen. Hinzu käme das Recht auf Löschung dieser Daten, es sei denn, die Schufa könnte das Vorliegen zwingender, schutzwürdiger Gründe nachweisen.
Handlungsbedarf
- Beobachtung der weiteren Rechtsprechung des Verwaltungsgerichts Wiesbaden
- Für Banken: Überprüfung der eigenen Kreditentscheidungsprozesse
- Für Banken: Kenntnisnahme, dass die Kreditentscheidungsprozesse in Deutschland zukünftig mit hoher Wahrscheinlichkeit nicht ausschließlich auf dem Schufa-Scoring / Scoring anderer Auskunfteien beruhen dürfen