Schufa-Scoring verstößt gegen DS-GVO
Nach den Schlussanträgen des Generalanwalts beim Europäischen Gerichtshof Priit Pikamäe handelt es sich bei der automatisierten Erstellung eines Score-Werts durch Auskunfteien wie der Schufa um eine dem Verbot in Art. 22 Abs. 1 DS-GVO unterfallende automatisierte Entscheidung. Außerdem dürften Auskunfteien Daten aus öffentlichen Registern nicht über die für die Register vorgesehenen Speicherfristen hinaus speichern.
Kredit nach negativem Schufa-Score verweigert
Zur Entscheidung an stehen drei Fälle aus Hessen. Der Ausgangsklägerin wurde wegen eines negativen Schufa-Score-Werts ein Kreditvertrag verweigert. Sie forderte daraufhin die Löschung falscher Eintragungen und Zugang zu den entsprechenden Daten. Die Schufa teilte ihr jedoch nur den entsprechenden Score-Wert und in allgemeiner Form die Grundsätze der Berechnungsmethode mit. Sie erteilte ihr aber keine Auskunft darüber, welche konkreten Informationen in diese Berechnung eingeflossen waren und welche Bedeutung ihnen dabei beigemessen wurde. Die Schufa verwies darauf, dass die Berechnungsmethode dem Geschäftsgeheimnis unterliege. Dagegen erhob die Klägerin ohne Erfolg Beschwerde beim Datenschutzbeauftragten. Das mit ihrer Klage gegen den Bescheid des Datenschutzbeauftragten befasste VG Wiesbaden rief den EuGH zur Klärung der Vereinbarkeit mit der DS-GVO an. In den anderen beiden Sachen war den beiden Ausgangsklägern nach Insolvenz eine vorzeitige Restschuldbefreiung erteilt worden. Dieser Umstand wurde im Internet amtlich veröffentlicht, und der Eintrag nach sechs Monaten gelöscht. Die Schufa löscht diese Information aber erst drei Jahre nach der Eintragung. Die Kläger begehrten jeweils die Löschung.
EuGH-Generalanwalt: Schufa-Score verstößt gegen Art. 22 Abs. 1 DS-GVO
Laut EuGH-Generalanwalt Priit Pikamäe stellt bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine dem Verbot in Art. 22 Abs. 1 DS-GVO unterfallende automatisierte Entscheidung dar, wenn der Wert an einen dritten Verantwortlichen (Bank) übermittelt werde und dieser den Wert seiner Entscheidung über einen Vertrag maßgeblich zugrunde lege.
Umfang des Auskunftsrechts
Der Generalanwalt äußert sich in diesem Zusammenhang auch zum Umfang des Auskunftsrechts nach Art. 15 Abs. 1 lit. h DS-GVO. Er unterstreicht, dass die betroffene Person danach das Recht habe, von dem für die Verarbeitung Verantwortlichen nicht nur die Bestätigung zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht, sondern auch andere Informationen wie das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. Nach Ansicht Pikamäes ist die Verpflichtung, „aussagekräftige Informationen über die involvierte Logik“ bereitzustellen, dahin zu verstehen, dass sie hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes und zu den Gründen umfasse, die zu einem bestimmten Ergebnis geführt haben. Generell sollte der Verantwortliche laut Pikamäe der betroffenen Person allgemeine Informationen übermitteln, vor allem zu bei der Entscheidungsfindung berücksichtigten Faktoren und deren Gewichtung auf aggregierter Ebene, die der betroffenen Person auch für die Anfechtung von automatisierten „Entscheidungen“ im Sinn von Art. 22 Abs. 1 DS-GVO nützlich seien.
Datenspeicherung nach Löschung aus öffentlichen Registern unzulässig
Nach Ansicht Pikamäes verstößt zudem die Speicherung der Daten über eine Insolvenz nach deren Löschung aus den öffentlichen Registern gegen die DS-GVO. Die gewährte Restschuldbefreiung solle dem Begünstigten ermöglichen, sich erneut am Wirtschaftsleben zu beteiligen. Dieses Ziel würde jedoch vereitelt, wenn private Wirtschaftsauskunfteien berechtigt wären, personenbezogene Daten in ihren Datenbanken zu speichern, nachdem diese Daten aus dem öffentlichen Register gelöscht worden seien. Was die parallele Speicherung bei Auskunfteien im Sechs-Monatszeitraum anbetreffe, sei es Sache des vorlegenden Gerichts, im Rahmen einer Interessenabwägung über die Rechtmäßigkeit zu befinden. Weiter unterstreicht der Generalanwalt, dass die betroffene Person vom Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten verlangen könne, wenn die Daten unrechtmäßig verarbeitet worden seien. Die unverzügliche Löschung könne sie auch verlangen, wenn sie Widerspruch gegen die Verarbeitung einlege. Im letzteren Fall sei es dann Sache des vorlegenden Gerichts, zu prüfen, ob es ausnahmsweise vorrangige berechtigte Gründe für die Verarbeitung gebe.
EuGH, Schlussanträge vom 16.03.2023 – C-634/21
(Quelle: Beck online)