EuGH-Urteil setzt Schufa neue Grenzen

Schufa-Score – „automatisierte Entscheidung“?

Im Dezember 2023 entschied der EuGH über eine Vorlage zur Vorabentscheidung des Verwaltungsgerichts (VG) Wiesbaden. Der Kläger hatte nach der Versagung eines Kredits bei seiner Bank wegen eines unzureichenden Schufa-Scores erfolglos um Auskunft nach der Datenschutz-Grundverordnung (DSGVO) bei der Schufa gebeten. Eine Beschwerde beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit wurde zurückgewiesen. Gegen diese Entscheidung ging der Kläger gerichtlich beim VG vor. Für das VG stellte sich nun u.a. die Frage, ob das Scoring-Verfahren der Schufa Holding AG (Schufa) eine „automatisierte Entscheidung im Einzelfall“ im Sinne der DSGVO ist.

Der Streitstand

Nach der DSGVO gelten für Entscheidungen, die auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhen und für die betroffene Person rechtliche Wirkung haben oder sie in ähnlicher Weise beeinträchtigen, erhöhte Voraussetzungen für die Rechtmäßigkeit. Beispielsweise bedarf es einer speziellen Rechtsgrundlage. Selbst bei Vorliegen der Rechtsgrundlage haben Betroffene das Recht, eine Nachprüfung durch einen Menschen zu verlangen, wenn sie sich durch die automatisierte Entscheidung diskriminiert fühlen. Außerdem muss im Rahmen eines Auskunftsersuchens einer betroffenen Person auch über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person informiert werden. 

Genau diese Auskunft verweigerte die Schufa dem Kläger im vom VG zu entscheidenden Fall. Das VG stand nun vor dem Problem, dass die Schufa zwar automatisiert einen Wahrscheinlichkeitswert errechnet, nach dem Wortlaut der DSGVO jedoch keine Entscheidung trifft. Die Schufa stellt den errechneten Score lediglich ihren Kunden – in diesem Fall der Bank des Klägers – zur Verfügung. Die Entscheidung über die Vergabe eines Kredits wurde durch einen Mitarbeiter der Bank auf Grundlage des Schufa-Scores getroffen. Die Tätigkeit der Schufa ist also eher eine vorbereitende Handlung für ihre Kunden, die den Score bei ihrer Entscheidung berücksichtigen können.

Der EuGH entschied nun, dass die Tätigkeit der Schufa über den Wortlaut der DSGVO hinaus als automatisierte Entscheidung zu klassifizieren ist. Andernfalls entstünde eine Rechtsschutzlücke für den Kläger. Obwohl eine automatisierte Verarbeitung stattfindet, könne er sein Auskunftsrecht nicht gegen die Schufa geltend machen, da diese keine Entscheidung träfe. Gegen die Bank, die zwar eine Entscheidung trifft, liefe ein Auskunftsersuchen jedoch ebenfalls leer, da die Bank schon rein faktisch mangels Informationen keine Auskunft über das Scoring-Verfahren der Schufa geben kann.
Deshalb fiele in diesem Fall bereits die Erstellung eines Scores unter die erhöhten Anforderungen der DSGVO, da der Score „maßgeblich“ für die Entscheidung der Bank gewesen sei. Nach den Feststellungen des VG führe nämlich ein unzureichender Score in nahezu allen Fällen zur Versagung eines Kredits.

Bedeutung für die Praxis

Das Urteil des EuGH setzt der Schufa und allen anderen Auskunfteien neue Grenzen, die sie zukünftig bei ihrer Tätigkeit berücksichtigen müssen. Allerdings hat der EuGH nicht klar definiert, wann eine automatisierte Entscheidung genau „maßgeblich“ durch einen Score beeinflusst wird. Die Schufa könnte daher öfter auf das Einholen von Einwilligungen der betroffenen Personen angewiesen sein. Eine weitere Möglichkeit wäre, zu verhindern, dass der Score „maßgeblich“ für die Entscheidungen der Schufa-Kunden wird, indem die Schufa sie darauf verpflichtet, auch weitere Kriterien zur Entscheidungsfindung heranzuziehen.

Das Urteil hat jedoch auch über die Tätigkeit von Auskunfteien hinaus weitreichende Folgen. So sind beispielsweise die vermehrt aufkommenden KI-Anwendungen betroffen. Mit der steigenden Verbreitung dieser Anwendungen wird es in vielen Bereichen regelmäßig vorkommen, dass eine menschliche Entscheidung „maßgeblich“ auf die Auswertung einer KI gestützt wird. Es stellt sich demnach die Frage, ob hier nicht zu stark reglementiert wird. 

Europäischer Gerichtshof, Urteil vom 7.12.2023 – C-634/21

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

Joshua Kniesburges

Rechtsanwalt

Zum Profil von Joshua Kniesburges

René Manz

IT-Prüfer und Berater

Zum Profil von René Manz

Kirsten Garling

Rechtsanwältin

Zum Profil von Kirsten Garling

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Permalink