Das VG Wiesbaden hat den EuGH angerufen und will wissen, ob die von der Schufa erstellten Score-Werte den Vorgaben der DSGVO genügen. Hintergrund ist der Fall einer Klägerin, die die Löschung vermeintlich falscher Schufa-Eintragungen und Auskunft zu gespeicherten Daten begehrt.

Die Schufa versorgt ihre Vertragspartner mit Informationen zur Kreditwürdigkeit Dritter und erstellt zu diesem Zweck sogenannte Score-Werte. Diese spielen für Verbraucher häufig eine entscheidende Rolle bei der Kreditvergabe. Das Verwaltungsgericht (VG) Wiesbaden will nun vom Europäischen Gerichtshof (EuGH) klären lassen, inwiefern das Erstellen von Score-Werten der privaten Auskunftei Schufa unter die europäische Datenschutz-Grundverordnung (DSGVO) fällt (Beschl. v. 01.10.2021, Az. 6 K 788/20.WI).

Für die Ermittlung des Score-Wertes wird aus bestimmten Merkmalen einer Person auf der Grundlage mathematisch-statistischer Verfahren für diese die Wahrscheinlichkeit eines künftigen Verhaltens, wie beispielsweise die Rückzahlung eines Kredits, prognostiziert. Die im Einzelnen zugrunde gelegten Merkmale werden von der Schufa nicht offengelegt. Sie beruft sich darauf, dass die Berechnungsmethoden unter das Betriebs- und Geschäftsgeheimnis fielen.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Wir sind bekannt aus

EuGH zu immateriellem DSGVO-Schadensersatz: Betroffenenrechte erneut gestärkt

  • 11.04.2024

Der EuGH hat ein neues Urteil in Sachen immaterieller Schadensersatz nach der DSGVO gefällt und darin die Rechte von Betroffenen weiter gestärkt: Zum einen weist das Gericht deutlich darauf hin, dass bereits der „Verlust der Kontrolle“ über die eigenen personenbezogenen Daten ein Schaden sein kann. Zum anderen macht er es […]

Mehr erfahren

Software hat Sicherheitslücke: Großes Datenleck bei Plattform für Cannabis-Clubs

  • 10.04.2024

Die sogenannten Cannabis Clubs sind eine von zwei möglichen Wegen, um ab dem 1. Juli 2024 an legales Cannabis zu kommen. Zur Verwaltung und Dokumentation der Mitglieder greifen einige davon auf eine niedersächsische Software-Lösung zurück, die nach neuen Erkenntnissen allerdings ein Datenschutzproblem hat: Nutzerdaten waren frei einsehbar. Mit einer „Rundum-Sorglos-Software-Lösung“ […]

Mehr erfahren

DSA sorgt für mehr Transparenz: Amazon muss Werbearchiv öffentlich zugänglich machen

  • 08.04.2024

Der EuGH hat geurteilt, dass Amazon den DSA einhalten muss und sein Werbearchiv öffentlich zugänglich machen muss. Die erstinstanzliche Entscheidung des EuG, die Anwendung des DSA für Amazon auszusetzen, wurde aufgehoben. Das Hauptsacheverfahren läuft jedoch weiterhin vor dem EuG. Amazon sieht in der Entscheidung einen Verstoß gegen seine Grundrechte und […]

Mehr erfahren

Datenschutzbeauftragter lehnte Begehren ab

Hintergrund der Vorlage an den EuGH ist ein Verfahren vor dem VG, in dem die Klägerin Eintragungen bei der Schufa, die ihrer Auffassung nach falsch sind, löschen lassen und Auskunft über die dort gespeicherten Daten haben will. Sie hatte sich diesbezüglich an den hessischen Beauftragten für Datenschutz und Informationsfreiheit gewandt. Dieser argumentierte jedoch, dass die Schufa bei der Berechnung des Bonitätswertes den im Bundesdatenschutzgesetz (BDSG) detailliert geregelten Anforderungen in der Regel genüge und im vorliegenden Fall keine Anhaltspunkte vorlägen, dass dem nicht so sei.

Schutz vor allein auf Automation gründender Entscheidung

Das VG Wiesbaden möchte nun zum einen vom EuGH geklärt wissen, ob die Tätigkeit von Wirtschaftsauskunfteien, Score-Werte zu erstellen und diese ohne weitergehende Empfehlung oder Bemerkung an Dritte (beispielsweise Banken) zu übermitteln, unter Art. 22 Abs. 1 der DSGVO fällt. Dieser besagt, dass Betroffene nicht Entscheidungen unterworfen werden dürfen, die ausschließlich auf einer automatisierten Verarbeitung beruhen. Falls das Erstellen von Score-Werten unter den entsprechenden DSGVO-Artikel falle, sei diese für Wirtschaftsauskunfteien maßgebliche Tätigkeit vom Verbot der automatisierten Einzelfallentscheidung erfasst, so das VG. Dies hätte zur Folge, dass diese Tätigkeit nur nach den Ausnahmetatbeständen des Art. 22 Abs. 2 DSGVO zulässig sei. Unter Umständen würde die Schufa dann rechtsgrundlos handeln.

Zur Begründung erläutert das Gericht, dass das Erstellen von Score-Werten nicht lediglich ein die Entscheidung des dritten Verantwortlichen (beispielsweise einer Bank) vorbereitendes Profiling, sondern gerade eine selbständige „Entscheidung“ im Sinne des Art. 22 Abs. 1 DSGVO sei. Zwar könnten jedenfalls rein hypothetisch die dritten Verantwortlichen eine eigene Entscheidung über das Ob und Wie eines Vertragsschlusses mit der betroffenen Person treffen, diese Entscheidung werde praktisch aber in erheblichem Maße durch den von Wirtschaftsauskunfteien übermittelten Score-Wert bestimmt. Ein nicht ausreichender Score-Wert werde im Bereich der Verbraucherdarlehen in fast jedem Fall zur Versagung eines Kredits führen. Vor den Gefahren dieser rein auf Automation gründenden Entscheidungsform solle Art. 22 Abs. 1 DSGVO die betroffene Person aber gerade schützen, erklärte das VG.

DSGVO könnte § 31 BDSG entgegenstehen

Falls der EuGH diese erste Vorlagefrage verneint, soll er zudem prüfen, ob die DSGVO Regelungen des BDSG zu Scoring und Bonitätsauskünften entgegenstehe. In § 31 BDSG treffe der deutsche Gesetzgeber im Kern detaillierte Regelungen über das Scoring als Unterfall des Profilings. Falls das Scoring nicht unter Art. 22 Abs. 1 DSGVO falle, so sei die allgemeine Vorschrift des Art. 6 DSGVO anzuwenden. Indem der deutsche Gesetzgeber weitergehende inhaltliche Zulässigkeitsvoraussetzungen an das Scoring knüpfe, spezifiziere er die Regelungsmaterie über die Vorgaben der DSGVO hinaus. Dafür fehle ihm jedoch die Regelungsbefugnis. Dies ändere den Prüfungsspielraum der nationalen Aufsichtsbehörde. Diese habe dann die Vereinbarkeit der Tätigkeit von Wirtschaftsauskunfteien an Art. 6 DSGVO zu messen. Es sei also durch den EuGH zu klären, ob die DSGVO der Regelung des § 31 BDSG entgegenstehe.

BGH hält Geheimhaltung der Berechnungsmethode für zulässig

Der Bundesgerichtshof (BGH) hat das Geheimhalten der genauen Berechnungsmethode im Jahr 2014 für zulässig befunden (Urt. v. 28.01.2014, Az. VI ZR 156/13). Es sei gesetzgeberisch gewollt, trotz der Schaffung einer größeren Transparenz bei Scoringverfahren Geschäftsgeheimnisse der Auskunfteien, namentlich die sogenannte Score-Formel, zu schützen. Wie der EuGH die ihm vorgelegten Fragen beurteilen wird, bleibt abzuwarten.

lrü