Schufa-Praxis verstößt gegen DSGVO

Hintergrund

Die Erstellung eines Schufa-Scorewerts für die Kreditwürdigkeit von Verbraucher:innen verstößt laut EuGH-Generalanwalt Priit Pikamäe gegen die Datenschutzgrundverordnung (DSGVO), wie er am 16.3.2023 mitteilte. Der Schufa-Nachweis wird dafür verwendet, dass Banken, Vermieter:innen, Telekommunikationsdienste oder Energieversorger die Kreditwürdigkeit einer Person erkennen können. Hierzu wird durch die Schufa ein Scorewert erstellt, der die Zahlungsfähigkeit angibt. Auch die Speicherung von Privatinsolvenzeinträgen für drei weitere Jahre nach der Restschuldbefreiung verstößt dem EuGH-Generalanwalt zufolge gegen die DSGVO.

BDSG-Vorschrift nicht mit DSGVO vereinbar

Im ersten Fall verlangte der Kläger die Löschung seiner Daten, nachdem der Schufa-Nachweis nicht mehr benötigt wurde, und forderte darüber hinaus Auskunft über das Zustandekommen seines Scorewerts. Die Schufa kam dem Auskunftsersuchen unter Verweis auf den Schutz des Geschäftsgeheimnisses und die Natur des Scores als bloße Information nur unzureichend nach. Laut Bundesgerichtshof ist eine Offenlegung des Algorithmus aufgrund des Interesses einer Auskunftei an der Geheimhaltung ihres Algorithmus als zentrales Geschäftsgeheimnis nicht vom Auskunftsrecht umfasst. Dementsprechend erklärte der hessische Datenschutzbeauftragte eine Vereinbarkeit des Vorgehens der Schufa mit den Informationspflichten aus der DSGVO und der Vorschrift des BDSG, nach der zum „Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften“ Ausnahmen erlaubt sind. 

Das Verwaltungsgericht Wiesbaden legte den Fall dem Europäischen Gerichtshof (EuGH) vor, um die Vereinbarkeit von nationalem (BDSG) mit europäischem Recht (DSGVO) klären zu lassen. Diesbezüglich schreibt die DSGVO vor, dass Entscheidungen, die für Betroffene rechtliche Wirkung entfalten, nicht ausschließlich durch die automatisierte Verarbeitung von Daten getroffen werden dürfen. Nach Auffassung des Generalanwalts fällt das Vorgehen der Schufa unter dieses Verbot. Die Erstellung des Scorings stelle bereits eine verbotene automatische Entscheidung dar, unabhängig davon, ob im Nachhinein von den Banken oder den Vermieter:innen noch die endgültige Entscheidung über die Zahlungsfähigkeit getroffen wird. 

Wenn sich der EuGH dieser Auffassung anschließt, bedeutet dies, dass die Schufa in Zukunft bei einem Auskunftsersuchen einer betroffenen Person nach der DSGVO „[…] aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“ bereitstellen muss.

Im Ergebnis dürfte die Vorschrift aus dem BDSG in der aktuellen Fassung mit der DSGVO unvereinbar sein.

Verstoß gegen Löschfristen bei Verzeichnissen

Eine weitere Klage war darauf gerichtet, dass die Schufa die Eintragung über eine stattgefundene Restschuldbefreiung aufgrund einer Privatinsolvenz noch drei Jahre danach in ihrem Register kenntlich macht. Das Insolvenzgericht löscht diese Tatsache in ihrem Verzeichnis bereits nach einem halben Jahr, um den Wiedereinstieg in das Wirtschaftsleben der betroffenen Person zu erleichtern. Nach Ansicht des EuGH-Generalanwalts muss die Schufa sich in solchen Fällen an den Löschfristen der jeweiligen Verzeichnisse orientieren und somit im vorliegenden Fall die Daten ebenfalls nach einem halben Jahr löschen. Verstärkt wird dies durch das Recht auf Löschung aus der DSGVO, wonach eine Löschung der Daten verlangt werden kann, wenn die Verarbeitung nach dem Verarbeitungszweck nicht mehr notwendig ist. Wenn eine unverzügliche Löschung im Verzeichnis nach einem halben Jahr angeordnet ist, ist eine Rechtsgrundlage für die weitere Speicherung durch die Schufa nicht ersichtlich. 

Wenn der EuGH sich dieser Ansicht des Generalanwalts anschließt, muss die Schufa ihre Löschfristen für Daten generell überarbeiten und anpassen.

Ergebnis

Die Erklärungen des Generalanwalts stellen die Praktiken der Schufa infrage und geben eine Tendenz dahingehend, dass die Schufa ihre Vorgehensweisen in Zukunft verändern und an die DSGVO anpassen sollte. Bereits in der Vergangenheit drängte sich für Datenschützer:innen der Eindruck auf, dass die Schufa in einer parallelen Welt zur DSGVO lebt und sich in Teilen nicht an die DSGVO gebunden fühlt, insbesondere bei Lösch-Ersuchen der Betroffenen. Es bleibt nun abzuwarten, wie der EuGH entscheidet. Zwischenzeitlich hat die Schufa allerdings mitgeteilt, dass sie ihre Löschpraxis ändert: Die Speicherdauer für die Einträge zu abgeschlossenen Privatinsolvenzen wird von drei Jahren auf sechs Monate verkürzt.