Compliance und Aufsichtsrecht

Doppelpack für die SCHUFA vor dem EuGH: SCHUFA-Score unterliegt Art. 22 DSGVO / Informationen über Restschuldbefreiungen müssen nach 6 Monaten gelöscht werden

Veröffentlicht am 8th Dez 2023

Am 7. Dezember 2023 veröffentlichte der EuGH gleich mehrere Entscheidungen zu Datenverarbeitungspraktiken der SCHUFA. Konkret ging es dabei um die Fragen, (i) ob die Bildung des SCHUFA-Scores als eine (grundsätzlich verbotene) automatisierte Entscheidung im Einzelfall i.S.v. Art. 22 DSGVO zu klassifizieren ist (Verfahren C- 634/21), sowie (ii) ob und wie lange die SCHUFA Informationen über eine etwaige Restschuldbefreiung betroffener Personen vorhalten darf (Verfahren C‑26/22 und C‑64/22). Der Gerichthof hat in beiden Themenkomplexen den bisherigen Verarbeitungspraktiken der SCHUFA weitgehend eine Absage erteilt.

Schufa_Insight

1 Ausführungen zum Scoring

Der EuGH geht davon aus, dass der SCHUFA-Score als eine von der DSGVO grundsätzlich verbotene „automatisierte Entscheidung im Einzelfall“ i.S.v Art. 22 DSGVO anzusehen ist. Dies setzt jedoch voraus, dass die Kunden der SCHUFA, wie beispielsweise Banken, ihm eine maßgebliche Rolle im Rahmen der Kreditgewährung beimessen. Nach Ansicht des Verwaltungsgerichts Wiesbaden als Vorlagegericht ist dies der Fall. Es obliegt dem Vorlagegericht zu beurteilen, ob § 31 BDSG im Einklang mit der DSGVO eine gültige Ausnahme von diesem Verbot enthält. 

Anwendungsbereich von Art. 22 DSGVO grundsätzlich eröffnet

Der EuGH stellt zunächst fest, dass die Bildung des SCHUFA-Scores grundsätzlich in den Anwendungsbereich von Art. 22 DSGVO fällt, da der dortige Begriff Entscheidung weit zu verstehen ist und mehrere Handlungen umfassen kann, die die betroffene Person in vielerlei Weise beeinträchtigen können, insbesondere also auch die Berechnung der Fähigkeit einer Person zur Erfüllung künftiger Zahlungsverpflichtungen in Form eines Wahrscheinlichkeitswerts (Rn. 46). Dass der SCHUFA-Score „ausschließlich auf einer automatisierten Verarbeitung [beruht]“ setzt der Gerichtshof insoweit voraus (Rn. 47). 

Rechtliche Wirkung oder erhebliche Beeinträchtigung?

Leider beleuchtet der EuGH nicht weiter näher die dritte (und entscheidende) Voraussetzung zur Eröffnung des Anwendungsbereichs von Art. 22 DSGVO, nämlich wann davon auszugehen ist, dass die Entscheidung gegenüber der betroffenen Person „rechtliche Wirkung“ entfaltet oder sie „in ähnlicher Weise erheblich“ beeinträchtigt. Dies war dem Umstand geschuldet, dass diese Voraussetzung bereits gedanklich in der Vorlagefrage enthalten war, nämlich dass das Handeln des Dritten, dem der Wahrscheinlichkeitswert übermittelt wird, „maßgeblich“ von diesem Wert geleitet wird (Rn. 48, 50). Dementsprechend musste sich der Gerichtshof mit dieser Frage auch nicht auseinandersetzen.

Hierzu betont der Gerichtshof jedoch, dass sich die Vorlagefrage (und somit auch deren weitere Beantwortung) ausdrücklich (nur) auf die automatisierte Erstellung eines auf personenbezogene Daten zu einer Person gestützten Wahrscheinlichkeitswerts hinsichtlich deren Fähigkeit, künftig einen Kredit zu bedienen, bezieht. Zudem stehe (nach den Sachverhaltsfeststellungen des vorlegenden Gerichts) fest, dass im Fall eines von einem Verbraucher an eine Bank gerichteten Kreditantrags ein unzureichender Wahrscheinlichkeitswert in nahezu allen Fällen dazu führe, dass die Bank die Gewährung des beantragten Kredits ablehnt (Rn. 47, 48).

Mögliche Rechtfertigung durch § 31 BDSG

Da der EuGH von der Anwendbarkeit von Art. 22 DSGVO auf bereits die Bildung des SCHUFA-Scores (und damit dessen grundsätzliche Unzulässigkeit) ausgeht, befasst er sich konsequenterweise im Nachgang mit den möglichen Rechtfertigungstatbeständen. So besagt Art. 22 Abs. 2 DSGVO, dass eine ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung nur in den in Art. 22 Abs. 2 genannten Fällen zulässig, d. h., wenn sie für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist (Buchst. a), wenn sie aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist (Buchst. b) oder wenn sie mit ausdrücklicher Einwilligung der betroffenen Person erfolgt (Buchst. c).

Das Vorlagegericht muss nunmehr prüfen, ob § 31 BDSG eine nationale Rechtsgrundlage im Sinne von Art. 22 Abs. 2 Buchst. b DSGVO darstellt. Dieser erlaube expressis verbis zum einen jedoch lediglich die „Verwendung“ von Score-Werten, nicht hingegen deren Ermittlung bzw. Errechnung. Zum anderen bestünden bezüglich der Vereinbarkeit von § 31 BDSG mit dem Unionsrecht Bedenken. So führt der EuGH aus, dass eine entsprechende nationale Vorschrift zunächst den in Art. 22 Abs. 1 lit. b und Abs. 4 DSGVO vorgesehenen Anforderungen entsprechen müsse. Daneben betont der Gerichtshof, dass eine solche nationale Vorschrift (mangels entsprechender Öffnungsklauseln) zusätzlich zu beachtende und in Art. 5 und 6 DSGVO verbriefte Anforderungen überschreiben dürfe. Insbesondere dürfe die Verwendung von Score-Werten (und die damit einhergehende Verarbeitung von personen-bezogenen Daten) nicht an den Anforderungen von Art. 6 Abs. 1 lit. a, b oder f DSGVO vorbei erlaubt werden (Rn. 67-70). Sofern § 31 BDSG diesen Anforderungen nicht entsprechen sollte, würde die SCHUFA – nach Ansicht des EuGH – nicht nur ohne Rechtsgrundlage handeln, sondern verstieße ipso iure gegen das in Art. 22 Abs. 1 DSGVO aufgestellte Verbot (Rn. 71). 

Bewertung / Einordung der Folgen für die Praxis

Die Feststellungen des Gerichtshofs zum konkret vorliegenden Verwendungszusammenhang des SCHUFA-Scores schließen die Übertragbarkeit der Entscheidung auf andere Fallkonstellationen bzw. andere Score-Werte aus bzw. schränken diese jedenfalls erheblich ein. Dies ergibt sich bereits aufgrund der exponierten Relevanz des SCHUFA-Scores im Wirtschaftsleben. Das Vorlagegericht scheint zudem davon auszugehen, dass Bankmitarbeiter sich „in nahezu allen Fällen“ blind und alleinig am SCHUFA-Score orientieren würden. Ob dies tatsächlich der gängigen Praxis entspricht (und der SCHUFA-Score nicht bloß einer von vielen berücksichtigten Faktoren ist), ist schon fraglich, zumal auch regulatorisch bei vielen Kreditentscheidungen deutlich mehr Kriterien relevant sind. Jedenfalls wird dies für andere (weniger allgemein gültige bzw. anerkannte oder auch interne) Scoring-Werte gelten. In jedem Fall bleibt festzuhalten, dass nicht jegliche nachgelagerte und maßgeblich von einem Score-Wert bestimmte Entscheidung dazu führt, dass (bereits) die Bildung des Score-Werts in den Anwendungsbereich von Art. 22 Abs. 1 DSGVO fällt. Vielmehr muss auch eben diese nachgelagerte Entscheidung für die betroffene Person „rechtliche Wirkung“ entfaltet oder sie „in ähnlicher Weise erheblich“ beeinträchtigt. 

Misslich ist in diesem Zusammenhang, dass der Gerichtshof keinerlei Ausführungen dazu tätigt, wann von einer ähnlich erheblichen Beeinträchtigung i.S.v. Art. 22 Abs. 1 DSGVO ausgegangen werden müsse. Nach dem EDSA muss die Möglichkeit bestehen, dass die Entscheidung das Verhalten oder die Umstände der betroffenen Person erheblich beeinträchtigt, sie über einen längeren Zeitraum beeinträchtigt oder dass die Entscheidung sogar zum Ausschluss von einer Leistung oder zur Diskriminierung führt (Art. 29 Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679, zuletzt überarbeitet und angenommen am 6. Februar 2018, S. 23, endorsed durch den EDSA). Das Wort erheblich impliziere dabei die Beeinträchtigung in einem für die Person wesentlichen Bereich, wie der Gesundheit, den Finanzen oder der Teilhabe an Arbeits- oder Bildungsplätzen (vgl. Art. 29 Datenschutzgruppe, a.a.O., S. 23 f.). Erwägungsgrund 71 zur DSGVO nennt entsprechend als Beispiele für erheblich beeinträchtigende Entscheidungen das automatisierte Online-Einstellungsverfahren oder die automatische Ablehnung eines Online-Kreditantrags. Nicht erfüllt ist das Kriterium der erheblichen Beeinträchtigung in Konstellationen, in denen Personen nicht von einer Leistung (gänzlich) ausgeschlossen werden, oder etwaige Beeinträchtigungen nicht in einem Bereich stattfinden, der für die Lebensführung ähnlich wesentlich ist, wie der Gesundheitsbereich oder die Zugänglichkeit zu Arbeits- und Ausbildungsplätzen.

Um aus dem Anwendungsbereich von Art. 22 DSGVO herauszufallen, sollte gleichwohl auch bei der Bildung und späteren Verwendung (unternehmensinterner) Score-Werte darauf geachtet werden, dass – soweit möglich – durch entsprechende Prozessstrukturierung und Dienstanweisungen dafür Sorge getragen wird, dass etwaige auf Score-Werten beruhende Entscheidungen von Mitarbeitern nicht durch den jeweiligen Score umfassend vorbestimmt werden. Dies ist gleichermaßen relevant für KI-gestützte Entscheidungsprozesse. Gerade bei der Einführung von KI-Systemen in Kreditantragsprozessen oder bei Einstellungen ist dieser Punkt von großer Bedeutung.

Sollte das Vorlagegericht (erwartungsgemäß) zu dem Ergebnis gelangen, dass § 31 BDSG für die Ermittlung von Score-Werten nicht anwendbar sei und/oder als mit dem Unionsrecht unvereinbar angesehen werden müsse, wäre der deutsche Gesetzgeber am Zug und müsste (dringend) eine entsprechende, unionsrechtskonforme Vorschrift nachlegen.

2 Ausführungen zu Angaben über Restschuldbefreiung

In Bezug auf die Informationen über die Erteilung einer Restschuldbefreiung entscheidet der Gerichtshof, dass es im Widerspruch zur DSGVO steht, wenn private Auskunfteien solche Daten länger speichern als das öffentliche Insolvenzregister. Die Entscheidung wirft nun auch die Frage auf, ob und wenn ja, welche Konsequenzen sich für Unternehmen jenseits von Auskunfteien, insbesondere im Finanzsektor, ergeben. Denn beispielsweise im Rahmen ihres Risikomanagements, werden Banken regelmäßig vergleichbare Informationen über längere Zeiträume verarbeiten, etwa historische Scores von Auskunfteien, in denen die Information über die Erteilung einer Restschuldbefreiung oder vergleichbare insolvenzbezogene Daten eingeflossen sind.

Vorzunehmende Interessenabwägung

Der EuGH leitet hier insoweit zunächst damit ein, dass Art. 6 Abs. 1 lit. f DSGVO vorliegend grundsätzlich die einschlägige Rechtsgrundlage sei und sowohl die SCHUFA als auch deren Kunden grundsätzlich ein berechtigtes Interesse an der Ermittlung der Kreditwürdigkeit und die Erteilung von Bonitätsauskünften haben und betont zudem, dass diese Tätigkeiten ein Fundament des Kreditwesens und der Funktionsfähigkeit der Wirtschaft bilden (Rn. 82, 83).

Der EuGH führt hierzu jedoch weiter aus, dass zu prüfen sei, ob die jeweils in Frage stehende Datenverarbeitung auch erforderlich (mithin aus Sicht des EuGH: unbedingt notwendig) ist, um diese Interessen zu verwirklichen sowie ob nicht die Interessen der betroffenen Personen an einem Unterlassen der jeweiligen Datenverarbeitung überwögen (Rn. 81, 87). Der Gerichtshof verweist hier grundsätzlich zurück an das Vorlagegericht, das diese Prüfung durchführen muss. Der Gerichtshof lässt es sich jedoch nicht nehmen, dem Vorlagegericht „sachdienliche Hinweise“ mit auf den Weg zu geben, wie er den Fall einschätzt (Rn. 81). 

In Frage stehende Verarbeitungsschritte

In Frage stehen hierbei zwei Verarbeitungsschritte im Zusammenhang mit der Speicherung von Informationen über Restschuldbefreiungen von natürlichen Personen (Rn. 89): (i) Die parallele Speicherung solcher Informationen durch die SCHUFA (neben dem öffentlichen Insolvenzregister), wobei diese Speicherung nicht aus konkretem Anlass vorgenommen werde, sondern für den Fall, dass Kunden entsprechende Auskünfte über diese Personen anfragen, sowie (ii) die Speicherung dieser Informationen für drei Jahre (nach Maßgabe der „Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien Verhaltensregeln im Sinne von Art. 40 DSGVO“), während die nationalen Rechtsvorschriften für das öffentliche Register eine Speicherdauer von nur sechs Monaten vorsähen.

Initiale Speicherung in der SCHUFA-Datenbank 

Hinsichtlich der Erforderlichkeit der initialen (und vermeintlich anlasslosen) Übertragung der Informationen in die SCHUFA-Datenbank, verweist der EuGH nahezu umfassend auf die vorzunehmende Bewertung durch das Vorlagegericht, lässt sich jedoch zu dem Hinweis hinreißen, dass diese Informationen ja auch im öffentlichen Register einsehbar seien und daher eine (zusätzliche) Speicherung bei der SCHUFA wohlmöglich obsolet wäre bzw. die Interessen der Betroffenen eine Speicherung ausschließen (Rn. 91, 100). Hier wird abzuwarten sein, was das Vorlagegericht daraus macht.

Speicherdauer

Ausführlicher äußert sich der Gerichtshof hingegen zur Speicherdauer, nämlich zur Frage, ob im vorliegenden Fall die berechtigten Interessen, die mit der fraglichen Verarbeitung personenbezogener Daten wahrgenommen werden, vernünftigerweise nicht durch eine kürzere Dauer der Speicherung der Daten erreicht werden können. Aus nicht näher erläuterndem (und auch nicht nachvollziehbarem) Grund statuiert der EuGH, dass die Erforderlichkeit in diesem Zusammenhang durch eine Abwägung der einander gegenüberstehenden Rechte und Interessen zu bewerten ist und betont dabei, dass die Speicherung und Übermittlung von Informationen über die Restschuldbefreiung einer natürlichen Per-son einen schweren Eingriff in die in den Art. 7 und 8 der Charta verankerten Grundrechte der betroffenen Person darstellen (Rn. 94). Die erteilte Restschuldbefreiung soll nämlich der betroffenen Person ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen, und hat daher für sie existenzielle Bedeutung. Diese Informationen werden bei der Bewertung der Kreditwürdigkeit der betroffenen Person jedoch stets als negativer Faktor verwendet und können diesen Zweck somit konterkarieren (Rn. 98). 

Nach dieser Einführung kommt der EuGH dann zum eigentlichen Knackpunkt der Frage: So ist es nach seiner Ansicht entscheidend, dass im vorliegenden Fall der deutsche Gesetzgeber in § 3 Abs. 1 InsBekV eine sechsmonatige Speicherung der Daten vorgesehen hat. Er geht daher davon aus, dass nach Ablauf der sechs Monate die Rechte und Interessen der betroffenen Person diejenigen der Öffentlichkeit, über diese Information zu verfügen, überwiegen. Daher könne (jedenfalls) eine längere Speicherung durch die SCHUFA auch nicht weiter auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden, da ab diesem Zeitpunkt die Interessen der betroffenen Personen überwiegen (Rn. 97, 99). Die Entscheidung des Vorlagegerichts zu diesem Aspekt scheint hiermit vorentschieden. 

Bewertung / Einordung der Folgen für die Praxis

Über den konkreten Einzelfall hinaus sollten Verantwortliche die Entscheidung zum Anlass nehmen, ihre Datenspeicherpraxis dahingehend zu prüfen, ob etwaige aus öffentlichen Quellen entnommene Informationen länger vorgehalten werden, als es die jeweilige öffentliche Quelle (gesetzlich) vorsieht. Allerdings besteht hier durchaus noch erheblicher Spielraum im Einzelfall. Das Geschäft einer Auskunftei besteht eben darin, Informationen auf Anforderung Dritten zur Verfügung zu stellen. Das dürfte in Konstellationen, in denen die Verantwortlichen Daten aus öffentlichen Quellen für eigene Zwecke verarbeiten, nicht der Fall sein. Deshalb dürften die öffentlichen Speicherfristen nicht zwingend auf jede weitere Verarbeitung durchschlagen. 

Daneben ist zu beachten, dass das Vorlagegericht nunmehr in der Hand hat, zu entscheiden, ob Informationen aus öffentlichen Quellen grundsätzlich bzw. unter welchen Bedingungen überhaupt in private Datenbanken übertragen werden dürfen (jedenfalls auf Grundlage berechtigter Interessen). Es erscheint allerdings lebensfremd, von Unternehmen zu erwarten, diese Daten ausschließlich in der öffentlichen Quelle zu belassen. In vielen Fällen wird man öffentliche Informationen gerade mit internen Informationen verknüpfen wollen, um Mehrwert zu schaffen. 

Jenseits von Auskunfteien, ist die Entscheidung unseres Erachtens insbesondere für Unternehmen im Finanzsektor relevant. Denn hier werden teilweise über lange Zeiträume Informationen über die Erteilung einer Restschuldbefreiung, vergleichbare insolvenzbezogene Daten und/oder historische Scores von Auskunfteien, in denen diese oder vergleichbare Informationen eingeflossen sind, verarbeitet. Solche Daten spielen regelmäßig im Risikomanagement von Banken, etwa im Rahmen von Datenverarbeitungen in Risikoklassifizierungsverfahren, eine Rolle. Die Entscheidung lässt nun auch Zweifel an der Rechtmäßigkeit dieser Verarbeitungen entstehen. Es empfiehlt sich daher, sich einen Überblick über die konkret verarbeiteten Informationen zu verschaffen und gegebenenfalls die Verarbeitung einzelner Datenfelder auf ihre Rechtmäßigkeit zu überprüfen. Daneben sollten bestehende Löschkonzepte überprüft werden. In vielen Fällen werden – gerade im regulatorischen Kontext – rechtskonforme Lösungen zu finden sein. Allerdings ist es keine Option, die Entscheidung einfach zu ignorieren und bestehende Rating- und Scoringmodelle unverändert laufen zu lassen.
 

Teilen

* Dieser Artikel entspricht dem aktuellen Stand zum Zeitpunkt seiner Veröffentlichung und spiegelt nicht notwendigerweise den aktuellen Stand des Gesetzes / der Regulatorik wider.

Interested in hearing more from Osborne Clarke?