Seit Anfang Februar verhandelt der EuGH in zwei Fällen zur deutschen Schufa. Auf der Kippe steht nichts Geringeres als das gesamte System der intransparenten Auskunfteien – denn es könnte an der DSGVO scheitern. Der zuständige EuGH-Generalanwalt kam nun zu dem Ergebnis, dass die Erstellung der Score-Werte gegen die DSGVO verstoße und die Schufa Daten aus öffentlichen Verzeichnissen nicht länger speichern dürfe als diese selbst.
Auskunfteien machen Verbrauchern seit Jahrzehnten das Leben schwer. Ein – oftmals unberechtigter – falscher Eintrag und der gewünschte Handy- oder Kreditvertrag ist ganz automatisch passé. Doch die Frage, wie Auskunfteien ihren „Score“ zur Kreditwürdigkeit von Bürgern berechnen, ist bislang – sogar vom Bundesgerichtshof abgesegnet – ein Geschäftsgeheimnis. Jetzt aber wird von ganz oben an dem intransparenten System gesägt, und zwar gleich von mehreren Seiten. Denn das Verwaltungsgericht (VG) Wiesbaden hat dem Europäischen Gerichtshof (EuGH) in zwei Verfahren mehrere Fragen vorgelegt. Der EuGH prüft seit Donnerstag, den 26. Januar 2023, ob das, was Schufa & Co. machen, überhaupt mit der EU-Datenschutzgrundverordnung (DSGVO) in Einklang steht. Nun hat der Generalanwalt seine Schlussanträge vorgelegt.
Haben Sie einen Handyvertrag?
Dann wurde Ihre Daten möglicherweise illegal an die Schufa weitergegeben!
→ Jetzt prüfen und bis zu 5.000 € Schadensersatz einfordern.
Im ersten Verfahren, über das der EuGH zu entscheiden hat (Rs. C 634/21), geht es um das Herzstück von Schufa & Co.: Den Score-Wert. Das VG Wiesbaden ist der Ansicht, dass es sich bei der Berechnung und Übermittlung dieses Bonitätswerts um eine automatisierte Entscheidung nach Art. 22 Abs. 1 DSGVO handelt. Danach ist es nämlich – bis auf wenige Ausnahmen – verboten, dass Computer Entscheidungen über Menschen treffen, die rechtliche oder ähnlich beeinträchtigende Wirkungen haben. Zwar könnten letztlich Banken oder Mobilfunkanbieter selbst entscheiden, ob sie auf Grundlage eines negativen Schufa-Scores Verträge eingehen. Letztlich führe ein solcher in der Praxis jedoch immer zu negativen Konsequenzen. Daher sei die Situation letztlich dieselbe wie bei einer vollständig automatisierten Entscheidung. In diesem Fall verstieße das Schufa-Verfahren höchstwahrscheinlich gegen EU-Recht und müsste grundlegend reformiert werden.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
In seiner zweiten Frage an den EuGH will das VG der deutschen spezialgesetzlichen Grundlage der Schufa an den Kragen: Falls Artikel 22 nicht einschlägig sein sollte, soll der EuGH beantworten, ob die DSGVO § 31 des deutschen Bundesdatenschutzgesetz (BDSG) entgegensteht. „Im Hinblick auf dessen Vereinbarkeit mit Art. 22 Abs. 1 DSGVO bestünden aber durchgreifende Bedenken“, so das VG wörtlich in seiner Pressemitteilung. Das VG jedenfalls ist der Ansicht, der deutsche Gesetzgeber habe hier keine Regelungsbefugnis. Damit wäre das System der Auskunfteien nur noch auf Grundlage von Artikel 6 DSGVO zulässig und die Aufsichtsbehörden hätten einen ganz anderen Prüfungsspielraum. Das gesamte bisherige System deutscher Auskunfteien stünde auf der Kippe.
Der Generalanwalt kommt nun in seinen Schlussanträgen zu dem Ergebnis, dass die Erstellung der Score-Werte für die Kreditwürdigkeit durch die Schufa tatsächlich gegen die DSGVO verstoße. Bereits die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Kreditwürdigkeit (Score-Wert) stelle eine solche verbotene automatische Entscheidung dar. Und das gelte auch, wenn obendrein Dritte wie z.B. Banken endgültig darüber entscheiden würden, ob die jeweilige Person kreditwürdig sei. Auch stehe die DSGVO nach Ansicht des Generalanwalts einer nationalen Regelung wie der des § 31 BDSG entgegen.
Verfahren 2: Datenspeicherung aus öffentlichen Verzeichnissen illegal?
Im zweiten Verfahren (Rs. C 26/22 und C 64/22) geht es um die Frage, welche Daten die Schufa überhaupt speichern darf – und wie lange. Aktuell speichert die Schufa nämlich auch Informationen aus öffentlichen Verzeichnissen, anlasslos und auf Vorrat. Im konkreten Fall ging es um eine Restschuldbefreiung aus einer Privatinsolvenz. Diese Informationen hatte die Schufa aus dem öffentlichen Register der Insolvenzbekanntmachungen erlangt und bei sich gespeichert. Das VG Wiesbaden hat Zweifel, ob eine „Parallelhaltung“ dieser Daten in privaten Auskunfteien überhaupt zulässig ist. Und selbst wenn, so müssten jedenfalls dieselben Speicher- und Löschfristen gelten, wie in den öffentlichen Registern. Während die auf Abruf zugänglichen Informationen im Register bereits nach sechs Monaten gelöscht werden müssen, speichert die Schufa sie aber volle drei Jahre. Möglicherweise müssten Schufa & Co. sie gemäß Artikel 17 Abs. 1 DSGVO ebenfalls nach sechs Monaten löschen – und dürften danach nicht mehr basierend auf solchen Informationen ihren Score berechnen.
Nach Überzeugung des Generalanwalts am EuGH dürfe die Schufa Daten aus öffentlichen Verzeichnissen – wie die Register der Insolvenzgerichte – nicht länger speichern als das öffentliche Verzeichnis selbst. Eine Löschung erst nach bis zu drei Jahren sei daher rechtswidrig. Schließlich sei Ziel der Restschuldbefreiung, dass Betroffene sich wieder am Wirtschaftsleben beteiligen können. Dies jedoch würde gerade vereitelt, wenn private Wirtschaftsauskunfteien die Daten über die Insolvenz länger speichern dürften. Betroffene haben nach Auffassung des Generalanwalts daher das Recht, von der Schufa zu verlangen, dass die Daten unverzüglich gelöscht werden.
Die Urteile werden im Laufe dieses Jahres, spätestens Anfang 2024 erwartet. Wir werden berichten.