Im Dezember 2023 hat der Europäische Gerichtshof (EuGH) in den Rechtssachen C-634/21, C-26/22 und C-64/22 bedeutsame Urteile zum Datenschutz und den Praktiken von Wirtschaftsauskunfteien wie der SCHUFA gefällt. Die Entscheidungen beziehen sich insbesondere auf die Themen Scoring und Speicherung von Informationen über Restschuldbefreiungen.

Urteil C-634/21: SCHUFA Holding – Scoring

Im Fall C-634/21 stand das Scoring-Verfahren der SCHUFA im Mittelpunkt, das nun eingeschränkt wird. Der Europäische Gerichtshof beschäftigte sich mit der Frage, ob die automatisierte Erstellung eines Wahrscheinlichkeitswertes über die Fähigkeit einer Person, einen Kredit zu bedienen, als Profiling im Sinne der Datenschutzgrundverordnung zu sehen ist.

Im Vorabentscheidungsersuchen des Verwaltungsgerichts wurde die Frage aufgeworfen, ob die Bonitätseinstufungen der Schufa als automatisierte Einzelfallentscheidungen (Art. 22 DSGVO) grundsätzlich unzulässig sind. Im Rahmen des Verfahrens fordert die Klägerin die Schufa auf, Auskunft über ihre gespeicherten Daten zu geben und ihren Eintrag zu löschen, nachdem ihre Bank einen Kreditantrag abgelehnt hatte. Zuvor hatte die Schufa ihr nur den Scorewert mitgeteilt. Eine vorherige Beschwerde beim Hessischen Datenschutzbeauftragten war erfolglos. Als Konsequenz klagte die Klägerin das Land Hessen an. Im Oktober 2021 wandte sich das VG mit dem Beschluss vom 01.10.2021 (Az. 6 K 788/20) an den EuGH.

Die Schufa, die in dem Verfahren beigezogen wurde, argumentierte, dass sie ihre Kunden lediglich bei der Entscheidungsfindung unterstützt, selbst aber keine Entscheidungen trifft. Daher fällt sie nicht in den Anwendungsbereich des Art. 22 DSGVO.

Das Gericht erkannte, dass solche Scoring-Verfahren als automatisierte Entscheidungen im Einzelfall unter Artikel 22 der DSGVO fallen.

Deshalb sei das Scoring der Schufa nur unter bestimmten Voraussetzungen zulässig (Urteile vom 07.12.2023 – C-634/21; C-26/22; C-64/22). So dürften Unternehmen nicht ausschließlich auf Grundlage einer automatisierten Bewertung der Kreditwürdigkeit durch die Schufa entscheiden, ob sie Verträge mit Kunden abschließen. Der Score sei als eine grundsätzlich verbotene „automatisierte Entscheidung im Einzelfall“ anzusehen, sofern die Kunden der Schufa ihm eine maßgebliche Rolle im Rahmen der Kreditgewährung beimäßen. Aus diesem Grunde sei auch Art. 22 DSGVO einschlägig. Der EuGH folgte damit der Argumentation er Schufa nicht.

Auswirkungen des Urteils

Das Urteil des EuGH begründet keine unmittelbaren Ansprüche gegenüber der Schufa, auch wenn einige „gewiefte“ Anwälte das Urteil nutzen möchten, um Musterschreiben verkaufen zu können, mit welchen angeblich die Löschung der personenbezogenen Daten bei der Schufa erreicht werden soll. Dies ist natürlich unzutreffend.

Das Urteil hat bedeutende Konsequenzen für die Kreditwirtschaft, wie Banken, aber auch Stromanbieter oder auch Mobilfunkanbieter, bei welchen man nur dann einen Vertrag abschließen kann, wenn der Schufa-Score über einem bestimmten Wert ist. Es beschränkt die Nutzung von automatisierten Scoring-Modellen und betont die Notwendigkeit einer transparenten und fairen Datenverarbeitung.

Für Banken, Mobilfunkanbieter oder auch Stromanbieter, welche die Daten der Schufa nutzen, kommt es in Zukunft nämlich vor allem darauf an zu dokumentieren, dass sie ihre Entscheidungen über die Vergabe von Krediten und den Abschluss von Verträgen nicht allein auf automatisiert erstellte Scorewerte stützen. Dies dürfte in den immer stärker werdenden rein automatisierten Prozessen schwierig sein. Banken und andere Unternehmen, wie Mobilfunkanbieter usw. müssen insoweit nämlich dann darlegen können, dass ihre Entscheidung nicht ausschließlich auf dem Scoring-Wert der Schufa basiert.

Die verbundenen Rechtssachen C-26/22 und C-64/22: Restschuldbefreiung

Die zweite Vorlage bezieht sich auf die Speicherung von Informationen zur Restschuldbefreiung nach einer Privatinsolvenz. Während Insolvenzgerichte öffentliche Informationen bereits nach sechs Monaten löschen, hat die Schufa die Daten bislang bis zu drei Jahre behalten. Ein Betroffener versuchte, die Eintragung mit Unterstützung des Hessischen Datenschutzbeauftragten zu löschen. Da dieser unkooperativ war, reichte der Betroffene Klage ein. Das Verwaltungsgericht bat den Europäischen Gerichtshof im Januar 2022 um Auslegung der Datenschutz-Grundverordnung sowie der EU-Grundrechte-Charta (Beschl. v. 31.01.2022, Az. 6 K 1052/21).

Der EuGH entschied, dass private Auskunfteien durch längere Speicherung solcher Informationen im Vergleich zum öffentlichen Insolvenzregister gegen die DSGVO verstoßen. Die Speicherdauer der Schufa ist hierbei zu lang. Eine Speicherung von Daten über den Zeitraum hinaus, in dem sie im öffentlichen Insolvenzregister aufbewahrt werden, ist laut der Datenschutzgrundverordnung (DSGVO) nicht zulässig. Dies gilt insbesondere vor dem Hintergrund, dass die gewährte Restschuldbefreiung der betroffenen Person ermöglichen soll, sich erneut am Wirtschaftsleben zu beteiligen und somit von existenzieller Bedeutung ist. Sollten die Daten länger als sechs Monate gespeichert werden, hat die betroffene Person das Recht auf unverzügliche Löschung.

Die Entscheidung des EuGH hat erhebliche Auswirkungen auf Auskunfteien wie die SCHUFA. Sie müssen ihre Datenverarbeitungspraktiken überprüfen und an die Vorgaben der DSGVO anpassen.

Zusammenfassung und Ausblick:

Diese Urteile des EuGH sind ein wichtiger Schritt hin zu einem verbesserten Datenschutz und einer gerechteren Datenverarbeitung in der Kreditwirtschaft. Sie verdeutlichen die Rolle der DSGVO als Instrument zur Wahrung der Privatsphäre und finanziellen Rechte der Verbraucher in der EU. Diese Entscheidungen könnten als Präzedenzfälle für zukünftige Fälle im Bereich Datenschutz und Finanzdienstleistungen dienen und zu weiteren Anpassungen der Praktiken von Wirtschaftsauskunfteien führen.

Allerdings bringen sie derzeit noch keinen direkten Anspruch gegen die Schufa, es sei denn im Falle einer Restschuldbefreiung. Bis dahin wird die Schufa weiterhin alle Daten speichern und auch auf Anfrage Daten an anfragende Unternehmen herausgeben. Erst wenn diese Unternehmen dann eine Entscheidung ausschließlich auf der Basis des Score-Wertes treffen, liegt eine den Verbraucher verletztende Entscheidung vor. Wenn der Vertragspartner, beispielsweise der Mobilfunkanbieter oder auch eine Bank bei einer Kreditvergabe, die Ablehnung des Vertragsschlusses mit anderen Umständen, als dem Schufa-Score, begründen können, dann liegt keine Verletzung der DSGVO vor.

Dementsprechend ist in erster Linie nun abzuwarten, wie die Wirtschaft gegenüber Verbrauchern agieren wird.

Weiter muss abgewartet werden, ob der Gesetzgeber eine neue gesetzliche Grundlage schafft, aufgrund derer die Schufa massenhaft Daten über jede Person speichert, welche dann für das tägliche Leben relevant sein können oder ob das Geschäftsmodell der Schufa in dieser Form zu einem Ende geführt wird. Denn der Schufa stehen im Kontext der DSGVO weitere, für das Geschäftsmodell sehr entscheidende Fragen zur Vereinbarkeit des Gebarens der Schufa im Kontext der DGSVO bevor, welche von Gerichten geklärt werden müssen.