Bonitätsprüfung: Schufa-Score wird zum Fall für den EuGH

Das Verwaltungsgericht Wiesbaden will wissen, ob die Score-Werte der Schufa mit den DSGVO-Vorgaben zu automatisierten Entscheidungen vereinbar sind.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 480 Beiträge

(Bild: nitpicker/Shutterstock.com)

Von
  • Stefan Krempl

Die von der Schufa errechneten Wahrscheinlichkeitswerte über die Bonität eines Verbrauchers sind oft ausschlaggebend dafür, ob dieser einen Kredit erhält oder erfolgreich eine Online-Bestellung aufgeben kann. Das Verwaltungsgericht Wiesbaden hat zu dieser im Geschäftsleben weitverbreiteten Praxis nun dem Europäischen Gerichtshof (EuGH) zwei grundsätzliche Fragen vorgelegt (Az.: 6 K 788/20.WI).

Die Richter sehen demnach vor allem Klärungsbedarf, ob das Erstellen entsprechender Score-Werte über Individuen und deren unkommentierter Transfer an Dritte wie Banken unter Artikel 22 der Datenschutz-Grundverordnung (DSGVO) fällt. Dieser besagt, dass Personen "nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen" werden dürfen, wenn letztere "ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt".

Die Klausel greift aber etwa nicht, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen dem Betroffenen und dem Verantwortlichen erforderlich oder im nationalen Recht erlaubt ist. Ein Scoring darf zudem "mit ausdrücklicher Einwilligung der betroffenen Person" erfolgen. Das Recht, einen automatisiert ergangenen Beschluss anzufechten, besteht in jedem Fall.

Sollte der EuGH die erste Frage bejahen, käme für das Berechnen von Score-Werten von Auskunfteien nur Paragraf 31 Bundesdatenschutzgesetz (BDSG) zum Schutz des Wirtschaftsverkehrs bei Bonitätsauskünften in Betracht, erklärt das Gericht. Es bestünden aber "durchgreifende Bedenken", ob dieser mit Artikel 22 DSGVO vereinbar sei. Die Schufa "würde dann rechtsgrundlos handeln".

Zudem will die zuständige 6. Kammer wissen, ob Paragraf 31 BDSG europarechtskonform ist, falls der EuGH einschlägige Score-Werte nicht von der DSGVO erfasst sieht. Darin stelle der deutsche Gesetzgeber detaillierte Regeln über das Scoring als Unterfall von Profiling auf und gehe dabei mit "weitergehenden inhaltlichen Zulässigkeitsvoraussetzungen" über die DSGVO hinaus. Dafür gibt es den Richtern zufolge aber keine Befugnis. Dies ändere den Prüfungsspielraum der nationalen Aufsichtsbehörde.

In der DSGVO ist das Erstellen von Profilen als "jede Art der automatisierten Verarbeitung personenbezogener Daten" definiert, womit diese verwendet werden, um bestimmte persönliche Aspekte zu bewerten. Dabei gehe es etwa darum, die Arbeitsleistung, wirtschaftliche Lage, Gesundheit oder spezielle Vorlieben zu analysieren oder vorherzusagen. Laut dem BDSG ist Scoring zulässig, wenn das Datenschutzrecht eingehalten wird, die genutzten Daten "unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens" erheblich sind und für einen Wahrscheinlichkeitswert nicht nur Anschriftendaten genutzt werden.

Die Schufa hütet ihren Scoring-Algorithmus zur Bonitätsprüfung wie einen Schatz. Sie legt die im Einzelnen zugrunde gelegten Merkmale sowie das mathematisch-statistische Verfahren nicht offen, da diese unter das Geschäftsgeheimnis fielen. Der Bundesgerichtshof schätzte diese Praxis 2014 als zulässig ein.

In dem in Wiesbaden verhandelten Fall geht es um den Antrag einer Klägerin, wonach die Auskunftei ihrer Auffassung nach falsche Eintragungen löschen und ihr Auskunft über die dort gespeicherten Daten erteilen soll. Sie hatte sich dazu zunächst an den hessischen Datenschutzbeauftragten gewandt. Dieser lehnte das Ersuchen der Klägerin jedoch ab, da die Schufa bei der Berechnung des Bonitätswertes den im BDSG detailliert geregelten Anforderungen regelmäßig genüge. Es lägen auch in diesem Fall keine Anhaltspunkte vor, dass dem nicht so sei.

Das eingeschaltete Verwaltungsgericht begründet die Vorlage an den EuGH unter anderem damit, dass Score-Werte nicht etwa eine weitergehende Profilbildung beispielsweise einer Bank vorbereiteten, sondern gerade eine selbstständige "Entscheidung" im Sinne des Artikels 22 DSGVO darstellten. Selbst eine theoretisch noch mögliche menschlich gesteuerte Einzelfallprüfung würde praktisch in erheblichem Maße durch den Wahrscheinlichkeitswert der Auskunfteien bestimmt. Vor den Gefahren einer solchen "rein auf Automation gründenden Entscheidungsform" habe der EU-Gesetzgeber die Bürger aber genau schützen wollen.

(olb)