Schufa-Praxis verstößt gegen DSGVO

Hintergrund

Die Erstellung eines Schufa-Scorewerts für die Kreditwürdigkeit von Verbraucher:innen verstößt laut EuGH-Generalanwalt Priit Pikamäe gegen die Datenschutzgrundverordnung (DSGVO), wie er am 16.3.2023 mitteilte. Der Schufa-Nachweis wird dafür verwendet, dass Banken, Vermieter:innen, Telekommunikationsdienste oder Energieversorger die Kreditwürdigkeit einer Person erkennen können. Hierzu wird durch die Schufa ein Scorewert erstellt, der die Zahlungsfähigkeit angibt. Auch die Speicherung von Privatinsolvenzeinträgen für drei weitere Jahre nach der Restschuldbefreiung verstößt dem EuGH-Generalanwalt zufolge gegen die DSGVO.

BDSG-Vorschrift nicht mit DSGVO vereinbar

Im ersten Fall verlangte der Kläger die Löschung seiner Daten, nachdem der Schufa-Nachweis nicht mehr benötigt wurde, und forderte darüber hinaus Auskunft über das Zustandekommen seines Scorewerts. Die Schufa kam dem Auskunftsersuchen unter Verweis auf den Schutz des Geschäftsgeheimnisses und die Natur des Scores als bloße Information nur unzureichend nach. Laut Bundesgerichtshof ist eine Offenlegung des Algorithmus aufgrund des Interesses einer Auskunftei an der Geheimhaltung ihres Algorithmus als zentrales Geschäftsgeheimnis nicht vom Auskunftsrecht umfasst. Dementsprechend erklärte der hessische Datenschutzbeauftragte eine Vereinbarkeit des Vorgehens der Schufa mit den Informationspflichten aus der DSGVO und der Vorschrift des BDSG, nach der zum „Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften“ Ausnahmen erlaubt sind. 

Das Verwaltungsgericht Wiesbaden legte den Fall dem Europäischen Gerichtshof (EuGH) vor, um die Vereinbarkeit von nationalem (BDSG) mit europäischem Recht (DSGVO) klären zu lassen. Diesbezüglich schreibt die DSGVO vor, dass Entscheidungen, die für Betroffene rechtliche Wirkung entfalten, nicht ausschließlich durch die automatisierte Verarbeitung von Daten getroffen werden dürfen. Nach Auffassung des Generalanwalts fällt das Vorgehen der Schufa unter dieses Verbot. Die Erstellung des Scorings stelle bereits eine verbotene automatische Entscheidung dar, unabhängig davon, ob im Nachhinein von den Banken oder den Vermieter:innen noch die endgültige Entscheidung über die Zahlungsfähigkeit getroffen wird. 

Wenn sich der EuGH dieser Auffassung anschließt, bedeutet dies, dass die Schufa in Zukunft bei einem Auskunftsersuchen einer betroffenen Person nach der DSGVO „[…] aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“ bereitstellen muss.

Im Ergebnis dürfte die Vorschrift aus dem BDSG in der aktuellen Fassung mit der DSGVO unvereinbar sein.

Verstoß gegen Löschfristen bei Verzeichnissen

Eine weitere Klage war darauf gerichtet, dass die Schufa die Eintragung über eine stattgefundene Restschuldbefreiung aufgrund einer Privatinsolvenz noch drei Jahre danach in ihrem Register kenntlich macht. Das Insolvenzgericht löscht diese Tatsache in ihrem Verzeichnis bereits nach einem halben Jahr, um den Wiedereinstieg in das Wirtschaftsleben der betroffenen Person zu erleichtern. Nach Ansicht des EuGH-Generalanwalts muss die Schufa sich in solchen Fällen an den Löschfristen der jeweiligen Verzeichnisse orientieren und somit im vorliegenden Fall die Daten ebenfalls nach einem halben Jahr löschen. Verstärkt wird dies durch das Recht auf Löschung aus der DSGVO, wonach eine Löschung der Daten verlangt werden kann, wenn die Verarbeitung nach dem Verarbeitungszweck nicht mehr notwendig ist. Wenn eine unverzügliche Löschung im Verzeichnis nach einem halben Jahr angeordnet ist, ist eine Rechtsgrundlage für die weitere Speicherung durch die Schufa nicht ersichtlich. 

Wenn der EuGH sich dieser Ansicht des Generalanwalts anschließt, muss die Schufa ihre Löschfristen für Daten generell überarbeiten und anpassen.

Ergebnis

Die Erklärungen des Generalanwalts stellen die Praktiken der Schufa infrage und geben eine Tendenz dahingehend, dass die Schufa ihre Vorgehensweisen in Zukunft verändern und an die DSGVO anpassen sollte. Bereits in der Vergangenheit drängte sich für Datenschützer:innen der Eindruck auf, dass die Schufa in einer parallelen Welt zur DSGVO lebt und sich in Teilen nicht an die DSGVO gebunden fühlt, insbesondere bei Lösch-Ersuchen der Betroffenen. Es bleibt nun abzuwarten, wie der EuGH entscheidet. Zwischenzeitlich hat die Schufa allerdings mitgeteilt, dass sie ihre Löschpraxis ändert: Die Speicherdauer für die Einträge zu abgeschlossenen Privatinsolvenzen wird von drei Jahren auf sechs Monate verkürzt.

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

Joshua Kniesburges

Rechtsanwalt

Zum Profil von Joshua Kniesburges

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Permalink